Sobre o conteúdo de segurança do QuickTime 7.5.5
Resumo
Este documento descreve o conteúdo de segurança do QuickTime 7.5.5, que pode ser baixado e instalado através das preferências em Atualização de Software ou emdownloads da Apple.
Para fins de proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma ampla investigação tenha sido feita e que as correções ou versões necessárias estejam disponíveis. Para saber mais sobre segurança do produto Apple, consulte o site sobre Segurança do produto Apple.
Para obter informações sobre a chave PGP de segurança do produto Apple, consulte Como usar a chave PGP de segurança do produto Apple.
Sempre que possível, serão usadas IDs de CVE para indicar as vulnerabilidades e permitir que o usuário obtenha informações mais detalhadas.
Para saber mais sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple".
Produtos Afetados
QuickTime, Segurança do Produto
QuickTime 7.5.5
-
QuickTime
ID de CVE: CVE-2008-3615
Disponível para: Windows Vista, XP SP2 e SP3
Impacto: visualizar um arquivo de filme projetado com códigos maliciosos pode causar o término inesperado do aplicativo ou a execução descontrolada do código
Descrição: existe um problema não inicializado de acesso à memória no codec Indeo v5 de outro fabricante para o QuickTime que não é fornecido com o QuickTime. Visualizar um arquivo de filme projetado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução aleatória do código. Esta atualização soluciona o problema não renderizando conteúdo codificado com qualquer versão do codec Indeo. Este problema não afeta sistemas com o Mac OS X. Agradecemos Paul Byrne da NGSSoftware por reportar o problema.
-
QuickTime
ID de CVE: CVE-2008-3635
Disponível para: Windows Vista, XP SP2 e SP3
Impacto: visualizar um arquivo de filme projetado com códigos maliciosos pode causar o término inesperado do aplicativo ou a execução descontrolada do código
Descrição: existe um transbordamento do buffer de pilha no codec Indeo v3.2 de outro fabricante para o QuickTime. Visualizar um arquivo de filme projetado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução aleatória do código. Esta atualização soluciona o problema não renderizando conteúdo codificado com qualquer versão do codec Indeo. Este problema não afeta sistemas executando o Mac OS X. Agradecemos a um pesquisador anônimo que trabalha para a ZDI por reportar o problema.
-
QuickTime
ID de CVE: CVE-2008-3624
Disponível para: Mac OS X v10.4.9 à v10.4.11, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2 e SP3
Impacto: visualizar um arquivo de filme QTVR projetado com códigos maliciosos pode causar o término inesperado do aplicativo ou a execução descontrolada do código
Descrição: existe um transbordamento de buffer de pilha durante o tratamento de elementos de panorama em arquivos de filme QTVR (QuickTime Virtual Reality). Visualizar um arquivo QTVR projetado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução aleatória do código. Esta atualização soluciona o problema por meio de uma verificação aprimorada dos limites de elementos de panorama. Agradecemos a Roee Hay da IBM Rational Application Security Research Group por reportar o problema.
-
QuickTime
ID de CVE: CVE-2008-3625
Disponível para: Mac OS X v10.4.9 à v10.4.11, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2 e SP3
Impacto: visualizar um arquivo de filme QTVR projetado com códigos maliciosos pode causar o término inesperado do aplicativo ou a execução descontrolada do código
Descrição: existe um transbordamento de buffer de pilha durante o tratamento de elementos de panorama em arquivos de filme QTVR (QuickTime Virtual Reality). Visualizar um arquivo QTVR projetado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução aleatória do código. Esta atualização soluciona o problema por meio de uma verificação aprimorada dos limites de elementos de panorama. Agradecemos um pesquisador anônimo que trabalha com a TippingPoint's Zero Day Initiative por reportar o problema.
-
QuickTime
ID de CVE: CVE-2008-3614
Disponível para: Windows Vista, XP SP2 e SP3
Impacto: abrir uma imagem PICT projetada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução aleatória do código
Descrição: ocorre um transbordamento de inteiros quando o QuickTime lida com imagens PICT. Abrir uma imagem PICT projetada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução aleatória do código. Esta atualização soluciona o problema por meio de uma validação adicional de imagens PICT. Agradecemos a um pesquisador anônimo que trabalha com o iDefense VCP por reportar o problema.
-
QuickTime
ID de CVE: CVE-2008-3626
Disponível para: Mac OS X v10.4.9 à v10.4.11, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2 e SP3
Impacto: visualizar um arquivo de filme projetado com códigos maliciosos pode causar o término inesperado do aplicativo ou a execução descontrolada do código
Descrição: ocorre uma falha de memória quando o QuickTime lida com elementos STSZ em arquivos de filmes. Visualizar um arquivo de filme projetado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução aleatória do código. Esta atualização soluciona o problema por meio de uma verificação aprimorada dos limites de elementos de STSZ. Agradecemos um pesquisador anônimo que trabalha com a TippingPoint's Zero Day Initiative por reportar o problema.
-
QuickTime
ID de CVE: CVE-2008-3627
Disponível para: Mac OS X v10.4.9 à v10.4.11, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2 e SP3
Impacto: visualizar um arquivo de filme projetado com códigos maliciosos pode causar o término inesperado do aplicativo ou a execução descontrolada do código
Descrição: ocorrem diversas falhas de memória quando o QuickTime lida com arquivos de filme H.264 codificados. Visualizar um arquivo de filme projetado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução aleatória do código. Esta atualização soluciona o problema por meio de uma validação adicional dos arquivos de filme H.264 codificados. Agradecemos um pesquisador anônimo e a Subreption LLC que trabalham com a TippingPoint's Zero Day Initiative por reportar o problema.
-
QuickTime
ID de CVE: CVE-2008-3628
Disponível para: Windows Vista, XP SP2 e SP3
Impacto: abrir uma imagem PICT projetada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução aleatória do código
Descrição: ocorre um problema de ponteiro inválido quando o QuickTime lida com imagens PICT. Abrir uma imagem PICT projetada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução aleatória do código. Esta atualização soluciona o problema ao salvar e restaurar corretamente uma variável global. Este problema não afeta sistemas com o Mac OS X. Agradecemos David Wharton por reportar o problema.
-
QuickTime
ID de CVE: CVE-2008-3629
Disponível para: Mac OS X v10.4.9 à v10.4.11, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2 e SP3
Impacto: abrir uma imagem PICT projetada com códigos maliciosos pode causar o encerramento inesperado do aplicativo
Descrição: ocorre um problema de leitura fora dos limites quando o QuickTime lida com imagens PICT. Abrir uma imagem PICT projetada com códigos maliciosos pode causar o encerramento inesperado do aplicativo. Esta atualização soluciona o problema por meio de uma validação adicional de imagens PICT. Agradecemos a Sergio "shadown" Alvarez da n.runs AG por reportar o problema.
Informações Adicionais
Importante: As informações sobre produtos de outros fabricantes destinam-se apenas a fins informativos e não constituem qualquer tipo de aval ou recomendação da Apple. Entre em contato com o fornecedor para obter mais informações.