Tietoja Quick Time 7.5.5:n turvallisuussisällöstä
Yhteenveto
Tässä asiakirjassa kuvataan QuickTime 7.5.5:n turvallisuussisältö. Päivitys voidaan ladata ja asentaa Ohjelmiston päivitys -asetuksista tai Applen lataukset -sivustosta.
Suojellakseen asiakkaitaan Apple ei paljasta tai anna tietoja tietoturvaongelmista tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa "Miten käytetään Applen tuoteturvallisuuden PGP-avainta".
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viitteinä haavoittuvuuksien lisätietoihin.
Tietoja muista turvallisuuspäivityksistä on artikkelissa "Applen turvallisuuspäivitykset".
Tuotteet, joita asia koskee
QuickTime, Tuoteturvallisuus
QuickTime 7.5.5
-
QuickTime
CVE-ID: CVE-2008-3615
Saatavilla käyttöjärjestelmiin Windows Vista, XP (SP2 ja SP3)
Vaikutus: Haitallisen elokuvatiedoston katsominen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen.
Kuvaus: Muun valmistajan Indeo v5 codec for QuickTime -ohjelmassa, jota ei toimiteta QuickTimen mukana, on alustamattoman muistin käyttöongelma. Haitallisen elokuvatiedoston katsominen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen. Tämä päivitys tarttuu ongelmaan olemalla näyttämättä millään Indeo codecin versiolla koodattua sisältöä. Tämä ongelma ei vaikuta järjestelmiin, joissa käytetään Mac OS X -käyttöjärjestelmää. Kiitos NGSSoftwaren Paul Byrnelle tämän ongelman ilmoittamisesta.
-
QuickTime
CVE-ID: CVE-2008-3635
Saatavilla käyttöjärjestelmiin Windows Vista, XP (SP2 ja SP3)
Vaikutus: Haitallisen elokuvatiedoston katsominen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen.
Kuvaus: Muun valmistajan Indeo v3.2 codec for QuickTime -ohjelmassa voi tapahtua pinopuskurin ylivuoto. Haitallisen elokuvatiedoston katsominen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen. Tämä päivitys tarttuu ongelmaan olemalla näyttämättä millään Indeo codecin versiolla koodattua sisältöä. Tämä ongelma ei vaikuta järjestelmiin, joissa käytetään Mac OS X -käyttöjärjestelmää. Kiitos ZDI:n anonyymille tutkijalle tämän ongelman ilmoittamisesta.
-
QuickTime
CVE-ID: CVE-2008-3624
Saatavilla käyttöjärjestelmiin Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 tai uudempi, Windows Vista, XP (SP2 ja SP3)
Vaikutus: Haitallisen QTVR-elokuvatiedoston katsominen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen.
Kuvaus: Pinopuskurin ylivuoto voi tapahtua QuickTimen käsitellessä QTVR (QuickTime Virtual Reality) -elokuvatiedostojen panoraama-atomeja. Haitallisen QTVR-elokuvatiedoston katsominen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen. Tämä päivitys tarttuu ongelmaan panoraama-atomien entistä paremmilla rajatarkistuksilla. Kiitos IBM Rational Application Security Research Groupin Roee Haylle tämän ongelman ilmoittamisesta.
-
QuickTime
CVE-ID: CVE-2008-3625
Saatavilla käyttöjärjestelmiin Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 tai uudempi, Windows Vista, XP (SP2 ja SP3)
Vaikutus: Haitallisen QTVR-elokuvatiedoston katsominen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen.
Kuvaus: Pinopuskurin ylivuoto voi tapahtua QuickTimen käsitellessä QTVR (QuickTime Virtual Reality) -elokuvatiedostojen panoraama-atomeja. Haitallisen QTVR-elokuvatiedoston katsominen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen. Tämä päivitys tarttuu ongelmaan panoraama-atomien entistä paremmilla rajatarkistuksilla. Kiitos tämän ongelman ilmoittamisesta kuuluu anonyymille tutkijalle, joka työskentelee TippingPointin Zero Day Initiativen parissa.
-
QuickTime
CVE-ID: CVE-2008-3614
Saatavilla käyttöjärjestelmiin Windows Vista, XP (SP2 ja SP3)
Vaikutus: Haitallisen PICT-kuvan avaaminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen.
Kuvaus: QuickTimen PICT-kuvien käsittelyssä voi tapahtua kokonaisluvun ylivuoto. Vihamielisen PICT-kuvan avaaminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaiseen koodin suoritukseen. Tämä päivitys korjaa ongelman suorittamalla ylimääräisen PICT-kuvien tarkistuksen. Tästä ongelmasta raportoi iDefense VCP:ssä työskentelevä anonyymi tutkija.
-
QuickTime
CVE-ID: CVE-2008-3626
Saatavilla käyttöjärjestelmiin Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 tai uudempi, Windows Vista, XP (SP2 ja SP3)
Vaikutus: Haitallisen elokuvatiedoston katsominen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen.
Kuvaus: QuickTimen elokuvatiedostojen STSZ-atomien käsittelyssä voi esiintyä muistin korruptoitumisongelma. Haitallisen elokuvatiedoston katsominen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen. Tämä päivitys tarttuu ongelmaan STSZ-atomien entistä paremmilla rajatarkistuksilla. Kiitos tämän ongelman ilmoittamisesta kuuluu anonyymille tutkijalle, joka työskentelee TippingPointin Zero Day Initiativen parissa.
-
QuickTime
CVE-ID: CVE-2008-3627
Saatavilla käyttöjärjestelmiin Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 tai uudempi, Windows Vista, XP (SP2 ja SP3)
Vaikutus: Haitallisen elokuvatiedoston katsominen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen.
Kuvaus: QuickTimen H.264-koodattujen elokuvatiedostojen käsittelyssä voi esiintyä muistin korruptoitumisongemia. Haitallisen elokuvatiedoston katsominen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen. Tämä päivitys korjaa ongelman suorittamalla ylimääräisen H.264-koodattujen elokuvatiedostojen tarkistuksen. Kiitos tämän ongelman ilmoittamisesta kuuluu anonyymille tutkijalle ja Subreption LLC:lle, jotka työskentelevät TippingPointin Zero Day Initiativen parissa.
-
QuickTime
CVE-ID: CVE-2008-3628
Saatavilla käyttöjärjestelmiin Windows Vista, XP (SP2 ja SP3)
Haitallisen PICT-kuvan avaaminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen.
Kuvaus: QuickTimen PICT-kuvien käsittelyssä voi esiintyä kelvoton osoitin -ongelma. Vihamielisen PICT-kuvan avaaminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaiseen koodin suoritukseen. Tämä päivitys tarttuu ongelmaan tallentamalla ja palauttamalla yleisen muuttujan oikealla tavalla. Tämä ongelma ei vaikuta järjestelmiin, joiden käyttöjärjestelmänä on Mac OS X. Kiitos David Whartonille tämän ongelman ilmoittamisesta.
-
QuickTime
CVE-ID: CVE-2008-3629
Saatavilla käyttöjärjestelmiin Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 tai uudempi, Windows Vista, XP (SP2 ja SP3)
Haitallisen PICT-kuvan avaaminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen.
Kuvaus: QuickTimen PICT-kuvien käsittelyssä voi esiintyä out-of-bounds read -ongelma. Haitallisen PICT-kuvan avaaminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen. Tämä päivitys tarttuu ongelmaan suorittamalla ylimääräisen PICT-kuvien tarkistuksen. Kiitos n.runs AG:n Sergio 'Shadow' Alvarezille tämän ongelman ilmoittamisesta.
Lisätietoja
Tärkeää: Muita kuin Applen valmistamia tuotteita koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue kyseisiä tuotteita. Pyydä kolmannelta osapuolelta lisätietoja.