О содержимом безопасности программы QuickTime 7.5.5
Обзор
В этом документе описывается содержимое безопасности программы QuickTime 7.5.5, которое можно загрузить и установить через меню Обновление ПО или из разделаЗагрузить веб-сайта компании Apple.
В целях защиты своих пользователей компания Apple не разглашает и не подтверждает информацию о проблемах безопасности, а также не участвует в ее обсуждении, до тех пор пока не будет полностью завершено изучение проблемы и не будут выпущены все необходимые обновления и выпуски. Дополнительную информацию об обеспечении безопасности продуктов Apple см. на веб-странице «Безопасность продуктов Apple».
Дополнительную информацию об обеспечении безопасности продуктов Apple с помощью ключа PGP см. в статье «Использование PGP-ключа для защиты продуктов Apple».
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Дополнительную информацию о других обновлениях системы безопасности см. в статье Apple Security Updates («Обновления системы безопасности Apple»).
Продукты, у которых возникает эта проблема
QuickTime, Безопасность продукта
QuickTime 7.5.5
-
QuickTime
Идентификатор CVE: CVE-2008-3615
Действительно для: Windows Vista, XP SP2 и SP3
Воздействие: просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода
Описание: Существует проблема доступа к неинициализированной памяти в кодеке от стороннего производителя Indeo v5 для QuickTime который не поставляется с QuickTime. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Данное обновление решает эту проблему, запрещая отображение материалов, закодированных любой версией этого кодека Indeo. Эта проблема не затрагивает компьютеры с системой Mac OS X. Благодарим Пола Бирна (Paul Byrne) из компании NGSSoftware за сообщение об этой проблеме.
-
QuickTime
Идентификатор CVE: CVE-2008-3635
Действительно для: Windows Vista, XP SP2 и SP3
Воздействие: просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода
Описание: Переполнение стекового буфера в кодеке стороннего производителя Indeo v3.2 для QuickTime. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Данное обновление решает эту проблему, запрещая отображение материалов, закодированных любой версией этого кодека Indeo. Данная проблема не распространяется на ОС до Mac OS X. Благодарим анонимного исследователя, работающего с ZDI, за сообщение об этой проблеме.
-
QuickTime
Идентификатор CVE: CVE-2008-3624
Действительно для: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 и выше, Windows Vista, XP SP2 и SP3
Воздействие: просмотр вредоносного видеофайла QTVR может привести к неожиданному завершению работы программы или выполнению произвольного кода
При обработке выборки атомов панорамы в видеофайлах QTVR (виртуальная реальность QuickTime) в программе QuickTime возможно переполнение буфера для динамически распределяемых структур данных. Просмотр вредоносного QTVR-файла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Данное обновление решает эту проблему путем усовершенствования проверки границ атомов панорамы. Благодарим Роя Хея (Roee Hay) из IBM Rational Application Security Research Group за информацию об этой проблеме.
-
QuickTime
Идентификатор CVE: CVE-2008-3625
Действительно для: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 и выше, Windows Vista, XP SP2 и SP3
Воздействие: просмотр вредоносного видеофайла QTVR может привести к неожиданному завершению работы программы или выполнению произвольного кода
При обработке выборки атомов панорамы в видеофайлах QTVR (виртуальная реальность QuickTime) в программе QuickTime возможно переполнение стекового буфера. Просмотр вредоносного QTVR-файла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Данное обновление решает эту проблему путем усовершенствования проверки границ атомов панорамы. Благодарим анонимного исследователя, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.
-
QuickTime
Идентификатор CVE: CVE-2008-3614
Действительно для: Windows Vista, XP SP2 и SP3
Воздействие: просмотр вредоносного изображения в формате PICT может привести к неожиданному завершению работы программы или выполнению произвольного кода
Описание: в способе обработки программой QuickTime изображений в формате PICT существует проблема, которая может привести к переполнению целочисленного значения. Открытие вредоносного изображения в формате PICT может привести к непредвиденному завершению работы программы или сделать возможным выполнение произвольного кода. Данное обновление устраняет проблему путем добавления дополнительной проверки изображений PICT. Благодарим анонимного исследователя, сотрудничающего с компанией iDefense VCP, за сообщение об этой проблеме.
-
QuickTime
Идентификатор CVE: CVE-2008-3626
Действительно для: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 и выше, Windows Vista, XP SP2 и SP3
Воздействие: просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода
Описание: Проблема порчи содержимого памяти при обработке атомов STSZ видеофайлов в QuickTime. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Данное обновление решает эту проблему путем усовершенствования проверки границ атомов STSZ. Благодарим анонимного исследователя, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.
-
QuickTime
Идентификатор CVE: CVE-2008-3627
Действительно для: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 и выше, Windows Vista, XP SP2 и SP3
Воздействие: просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода
Описание: Множественные проблемы порчи содержимого памяти при обработке видеофайлов кодировки H.264 в QuickTime. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Обновление решает описанную проблему, выполняя дополнительную проверку видеофайлов H.264. Благодарим анонимного исследователя и Subreption LLC, сотрудничающих с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.
-
QuickTime
Идентификатор CVE: CVE-2008-3628
Действительно для: Windows Vista, XP SP2 и SP3
Воздействие: просмотр вредоносного изображения в формате PICT может привести к неожиданному завершению работы программы или выполнению произвольного кода
Описание: Проблема неверного указателя при обработке PICT-изображений в QuickTime. Открытие вредоносного изображения в формате PICT может привести к непредвиденному завершению работы программы или сделать возможным выполнение произвольного кода. Данное обновление устраняет эту проблему путем правильного сохранения и восстановления глобальной переменной. Эта проблема не затрагивает компьютеры с системой Mac OS X. Благодарим Дэвида Уортона (David Wharton) за сообщение об этой проблеме.
-
QuickTime
Идентификатор CVE: CVE-2008-3629
Действительно для: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 и выше, Windows Vista, XP SP2 и SP3
Воздействие: Открытие злонамеренно подготовленного PICT изображения может привести к неожиданному завершению работы программы.
Описание: Проблема чтения данных за допустимыми границами в обработке PICT-изображений в QuickTime. Открытие злонамеренно подготовленного PICT изображения может привести к неожиданному завершению работы программы. Данное обновление устраняет проблему путем добавления дополнительной проверки PICT-изображений. Благодарим Серджио «Шедоуна» Альвареса (Sergio 'shadown' Alvarez) из n.runs AG за сообщение об этой проблеме.
Дополнительная информация
Важно:Сведения о продуктах, производимых не компанией Apple, предоставляются исключительно в информационных целях. Они не рекомендуются компанией Apple для использования и не рекламируются ею. Пожалуйста обращайтесь к производителю за дополнительной информацией.