QuickTime 7.5.5 のセキュリティコンテンツについて

QuickTime 7.5.5 のセキュリティコンテンツについて説明します。このセキュリティコンテンツは、システム環境設定の「ソフトウェアアップデート」パネルまたは Apple の「ダウンロード」ページからダウンロードしてインストールできます。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

QuickTime 7.5.5

  • QuickTime

    CVE-ID:CVE-2008-3615

    対象となるバージョン:Windows Vista、XP SP2 および SP3

    影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:QuickTime 向けの他社製 Indeo v5 コーデックに未初期化メモリアクセスの脆弱性があります。このコーデックは QuickTime に付属していません。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、バージョンを問わず Indeo コーデックでエンコードされたコンテンツをレンダリングしないようにすることで、問題が解決されています。この問題は、Mac OS X を搭載しているシステムには影響しません。この問題の報告は NGSSoftware の Paul Byrne 氏の功績によるものです。

  • QuickTime

    CVE-ID:CVE-2008-3635

    対象となるバージョン:Windows Vista、XP SP2 および SP3

    影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:QuickTime 向けの他社製 Indeo v3.2 コーデックでスタックバッファオーバーフローが引き起こされる可能性があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、バージョンを問わず Indeo コーデックでエンコードされたコンテンツをレンダリングしないようにすることで、問題が解決されています。この問題は、Mac OS X を搭載しているシステムには影響しません。この問題の報告は TippingPoint の Zero Day Initiative に協力するる匿名の研究者の功績によるものです。

  • QuickTime

    CVE-ID:CVE-2008-3624

    対象となるバージョン:Mac OS X v10.4.9 ~ v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2 および SP3

    影響:悪意を持って作成された QTVR ムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:QuickTime による QTVR (QuickTime Virtual Reality) ムービーファイルのパノラマアトムの処理時、ヒープバッファオーバーフローが引き起こされる可能性があります。悪意を持って作成された QTVR ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、パノラマアトムの配列境界チェック機能を改善することで問題が解決されました。この問題の報告は、IBM Rational Application Security Research Group の Roee Hay 氏の功績によるものです。

  • QuickTime

    CVE-ID:CVE-2008-3625

    対象となるバージョン:Mac OS X v10.4.9 ~ v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2 および SP3

    影響:悪意を持って作成された QTVR ムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:QuickTime による QTVR (QuickTime Virtual Reality) ムービーファイルのパノラマアトムの処理時、スタックバッファオーバーフローが引き起こされる可能性があります。悪意を持って作成された QTVR ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、パノラマアトムの配列境界チェック機能を改善することで問題が解決されました。この問題の報告は、TippingPoint の Zero Day Initiative に協力する匿名の研究者の功績によるものです。

  • QuickTime

    CVE-ID:CVE-2008-3614

    対象となるバージョン:Windows Vista、XP SP2 および SP3

    影響:悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:QuickTime による PICT 画像の処理時に整数オーバーフローが引き起こされる可能性があります。悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、PICT 画像の検証を強化することで問題が解消されています。この問題の報告は、iDefense VCP に協力している匿名の研究者の功績によるものです。

  • QuickTime

    CVE-ID:CVE-2008-3626

    対象となるバージョン:Mac OS X v10.4.9 ~ v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2 および SP3

    影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:QuickTime によるムービーファイルの STSZ アトムの処理時にメモリ破損が引き起こされる可能性があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、STSZ アトムの配列境界チェック機能を改善することで問題が解決されました。この問題の報告は、TippingPoint の Zero Day Initiative に協力する匿名の研究者の功績によるものです。

  • QuickTime

    CVE-ID:CVE-2008-3627

    対象となるバージョン:Mac OS X v10.4.9 ~ v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2 および SP3

    影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:H.264 でエンコードされたムービーファイルを QuickTime で処理する際、メモリ破損の脆弱性が複数存在します。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、H.264 でエンコードされたムービーファイルの検証を強化することで問題が解決されました。この問題の報告は、TippingPoint の Zero Day Initiative に協力する匿名の研究者と Subreption LLC の功績によるものです。

  • QuickTime

    CVE-ID:CVE-2008-3628

    対象となるバージョン:Windows Vista、XP SP2 および SP3

    影響:悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:QuickTime による PICT 画像の処理に無効なポインタの脆弱性があります。悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、グローバル変数を正確に保存・復元することによって問題が解決されています。この問題は、Mac OS X を搭載しているシステムには影響しません。この問題の報告は David Wharton 氏の功績によるものです。

  • QuickTime

    CVE-ID:CVE-2008-3629

    対象となるバージョン:Mac OS X v10.4.9 ~ v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2 および SP3

    影響:悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了することがある。

    説明:QuickTime による PICT 画像の処理に領域外読み込みの脆弱性があります。悪意を持って作成された PICT 画像ファイルを開くと、アプリケーションが予期せず終了することがあります。このアップデートでは、PICT 画像の検証を強化することで問題が解消されています。この問題の報告は、n.runs AG の Sergio 'shadown' Alvarez 氏の功績によるものです。

重要:Apple 製以外の製品に関する情報は、あくまで参考情報であり、Apple はこれらの製品を推奨するものでも保証するものでもありません。詳しくは、各社にお問い合わせください。

公開日: