QuickTime 7.5.5 のセキュリティコンテンツについて

QuickTime 7.5.5

• QuickTime

  CVE-ID：CVE-2008-3615

  対象となるバージョン：Windows Vista、XP SP2 および SP3

  影響：悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性がある。

  説明：QuickTime 向けのサードパーティ製 Indeo v5 コーデック (QuickTime に付属していません) に初期化されないメモリアクセスの問題があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性があります。このアップデートでは、任意のバージョンの Indeo コーデックでエンコードされたコンテンツをレンダリングしないようにしたことで、問題が解決されました。この問題は、Mac OS X を搭載しているシステムには影響しません。この問題は NGSSoftware 社の Paul Byrne 氏によって報告されました。

• QuickTime

  CVE-ID：CVE-2008-3635

  対象となるバージョン：Windows Vista、XP SP2 および SP3

  影響：悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性がある。

  説明：QuickTime 向けのサードパーティ製 Indeo v3.2 コーデックでスタックバッファのオーバーフローが発生します。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性があります。このアップデートでは、任意のバージョンの Indeo コーデックでエンコードされたコンテンツをレンダリングしないようにしたことで、問題が解決されました。この問題は、Mac OS X を搭載しているシステムには影響しません。この問題は ZDI に所属する匿名の研究者によって報告されました。

• QuickTime

  CVE-ID：CVE-2008-3624

  対象となるバージョン：Mac OS X v10.4.9 ～ v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2 および SP3

  影響：悪意を持って作成された QTVR ムービーファイルを表示すると、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性がある。

  説明：QuickTime で QTVR (QuickTime Virtual Reality) ムービーファイルのパノラマアトムを処理した場合に、ヒープバッファのオーバーフローが発生します。悪意を持って作成された QTVR ムービーファイルを表示すると、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性があります。このアップデートでは、パノラマアトムの範囲チェックを改善したことで、問題が解決されました。この問題は、IBM Rational Application Security Research Group の Roee Hay 氏によって報告されました。

• QuickTime

  CVE-ID：CVE-2008-3625

  対象となるバージョン：Mac OS X v10.4.9 ～ v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2 および SP3

  影響：悪意を持って作成された QTVR ムービーファイルを表示すると、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性がある。

  説明：QuickTime で QTVR (QuickTime Virtual Reality) ムービーファイルのパノラマアトムを処理した場合に、スタックバッファのオーバーフローが発生します。悪意を持って作成された QTVR ムービーファイルを表示すると、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性があります。このアップデートでは、パノラマアトムの範囲チェックを改善したことで、問題が解決されました。この問題の報告は、TippingPoint's Zero Day Initiative に所属する匿名の研究者の功績によるものです。

• QuickTime

  CVE-ID：CVE-2008-3614

  対象となるバージョン：Windows Vista、XP SP2 および SP3

  影響：悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりすることがある。

  説明：QuickTime で PICT 画像を処理した場合に、整数オーバーフローが発生します。悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりすることがあります。このアップデートでは、PICT 画像の追加検証を実行したことで、問題が解決されました。この問題は、iDefense VCP に所属する匿名の研究者によって報告されました。

• QuickTime

  CVE-ID：CVE-2008-3626

  対象となるバージョン：Mac OS X v10.4.9 ～ v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2 および SP3

  影響：悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性がある。

  説明：QuickTime でムービーファイルの STSZ アトムを処理した場合に、メモリ破損の問題が発生します。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性があります。このアップデートでは、STSZ アトムの範囲チェックを改善したことで、問題が解決されました。この問題の報告は、TippingPoint's Zero Day Initiative に所属する匿名の研究者の功績によるものです。

• QuickTime

  CVE-ID：CVE-2008-3627

  対象となるバージョン：Mac OS X v10.4.9 ～ v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2 および SP3

  影響：悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性がある。

  説明：H.264 でエンコードされたムービーファイルを QuickTime で処理した場合に、メモリ破損の問題が複数発生します。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりする可能性があります。このアップデートでは、H.264 でエンコードされたムービーファイルの追加検証を実行したことで、問題が解決されました。この問題は、TippingPoint's Zero Day Initiative に所属する匿名の研究者および Subreption LLC によって報告されました。

• QuickTime

  CVE-ID：CVE-2008-3628

  対象となるバージョン：Windows Vista、XP SP2 および SP3

  影響：悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりすることがある。

  説明：QuickTime で PICT 画像を処理した場合に、無効なポインタの問題が発生します。悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、恣意的にコードが実行されたりすることがあります。このアップデートでは、グローバル変数を正確に保存して復元したことで、問題が解決されました。この問題は、Mac OS X を搭載しているシステムには影響しません。この問題は David Wharton 氏によって報告されました。

• QuickTime

  CVE-ID：CVE-2008-3629

  対象となるバージョン：Mac OS X v10.4.9 ～ v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2 および SP3

  影響：悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了することがある。

  説明：QuickTime で PICT 画像を処理した場合に、範囲外の読み込みの問題が発生します。影響：悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了することがあります。このアップデートでは、PICT 画像の追加検証を実行したことで、問題が解決されました。この問題は、n.runs AG の Sergio 'shadown' Alvarez 氏によって報告されました。