Om säkerhetsinnehållet i QuickTime 7.5.5

  • Senast ändrad: 14 oktober, 2008
  • Artikel: HT3027

Översikt

Detta dokument beskriver säkerhetsinnehållet i QuickTime 7.5.5, som kan hämtas och installeras via inställningspanelen för Programuppdatering eller från webbsidan Apple Downloads.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har utförts och alla nödvändiga buggfix eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple Product Security.

Information om Apples PGP-nyckel för produktsäkerhet finns i "How to use the Apple Product Security PGP Key".

Om möjligt används CVE-ID:n som referenser till ytterligare information om sårbarheterna.

Mer information om andra säkerhetsuppdateringar finns på "Apple Security Updates".

Berörda produkter

QuickTime, Produktsäkerhet

QuickTime 7.5.5

  • QuickTime

    CVE-ID: CVE-2008-3615

    Tillgänglig för: Windows Vista, XP SP2 och SP3

    Effekt: Uppspelning av en uppsåtligt skapad filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Det finns ett problem med en ej initierad minnesåtkomst i kodeken Indeo v5 från en annan leverantör för QuickTime, som inte levereras med QuickTime. Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod. I den här uppdateringen åtgärdas problemet genom att inget innehåll som har kodats av Indeo-kodeken, oavsett version, återges. Problemet påverkar inte system som kör Mac OS X. Tack till Paul Byrne på NGSSoftware som rapporterade problemet.

  • QuickTime

    CVE-ID: CVE-2008-3635

    Tillgänglig för: Windows Vista, XP SP2 och SP3

    Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Det finns ett stackbuffertspill i kodeken Indeo v3.2 från en annan tillverkare för QuickTime. Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod. I den här uppdateringen åtgärdas problemet genom att inget innehåll som har kodats av Indeo-kodeken, oavsett version, återges. Problemet påverkar inte system som kör Mac OS X. Tack till den anonyma person som i samarbete med ZDI rapporterade problemet.

  • QuickTime

    CVE-ID: CVE-2008-3624

    Tillgänglig för: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 eller senare, Windows Vista, XP SP2 och SP3

    Effekt: Uppspelning av en uppsåtligt skapad skadlig QTVR-filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: En heap-buffertöversvämning förekommer vid QuickTimes hantering av panoramaatomer i QTVR-filmfiler (QuickTime Virtual Reality). Uppspelning av en uppsåtligt skapad skadlig QTVR-filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod. I den här uppdateringen åtgärdas problemet genom förbättrad gränskontroll av panoramaatomer. Tack till Roee Hay på IBM Rational Application Security Research Group som rapporterade problemet.

  • QuickTime

    CVE-ID: CVE-2008-3625

    Tillgänglig för: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 eller senare, Windows Vista, XP SP2 och SP3

    Effekt: Uppspelning av en uppsåtligt skapad skadlig QTVR-filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: En stackbuffertöversvämning förekommer vid QuickTimes hantering av panoramaatomer i QTVR-filmfiler (QuickTime Virtual Reality). Uppspelning av en uppsåtligt skapad skadlig QTVR-filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod. I den här uppdateringen åtgärdas problemet genom förbättrad gränskontroll av panoramaatomer. Tack till den anonyma medhjälpare som i samarbete med TippingPoints Zero Day Initiative rapporterade det här problemet.

  • QuickTime

    CVE-ID: CVE-2008-3614

    Tillgänglig för: Windows Vista, XP SP2 och SP3

    Effekt: Öppning av en uppsåtligt skapad skadlig PICT-bildfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Det förekommer att för stora tal genereras under QuickTimes hantering av PICT-bilder. Öppning av en PICT-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod. I den här uppdateringen åtgärdas problemet genom att ytterligare verifiering av PICT-bilderna görs. Tack till den anonyma personen som i samarbete med iDefense VCP rapporterade problemet.

  • QuickTime

    CVE-ID: CVE-2008-3626

    Tillgänglig för: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 eller senare, Windows Vista, XP SP2 och SP3

    Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Det händer att minnet skadas under QuickTimes hantering av STSZ-atomer i filmfiler. Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod. I den här uppdateringen åtgärdas problemet genom förbättrad gränskontroll av STSZ-atomer. Tack till den anonyma medhjälpare som i samarbete med TippingPoints Zero Day Initiative rapporterade det här problemet.

  • QuickTime

    CVE-ID: CVE-2008-3627

    Tillgänglig för: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 eller senare, Windows Vista, XP SP2 och SP3

    Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Det förekommer flera skador på minnet under QuickTimes hantering av H.264-kodade filmfiler. Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod. I den här uppdateringen åtgärdas problemet genom att ytterligare valideringar av H.264-kodade filmfiler görs. Tack till den anonyma personen och Subreption LLC som i samarbete med TippingPoint's Zero Day Initiative rapporterade problemet.

  • QuickTime

    CVE-ID: CVE-2008-3628

    Tillgänglig för: Windows Vista, XP SP2 och SP3

    Effekt: Öppning av en uppsåtligt skapad skadlig PICT-bildfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: En ogiltig pekare förekommer i QuickTimes hantering av PICT-bilder. Öppning av en PICT-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod. I den här uppdateringen åtgärdas problemet genom att en global variabel sparas och återställs. Problemet påverkar inte system som kör Mac OS X. Tack David Wharton som rapporterade problemet.

  • QuickTime

    CVE-ID: CVE-2008-3629

    Tillgänglig för: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 eller senare, Windows Vista, XP SP2 och SP3

    Effekt: Öppning av en uppsåtligt skapad skadlig PICT-bildfil kan leda till oväntad programavslutning

    Beskrivning: Ett läsproblem utanför gränser förekommer i QuickTimes hantering av PICT-bilder. Öppning av en uppsåtligt skapad skadlig PICT-bildfil kan leda till oväntad programavslutning. I den här uppdateringen åtgärdas problemet genom att ytterligare verifiering av PICT-bilderna görs. Tack till Sergio "Shadown" Alvarez på n.runs AG som rapporterade problemet.

Ytterligare information

Viktigt:Information om produkter som inte tillverkas av Apple tillhandahålls endast i informationssyfte och ska inte betraktas som någon rekommendation från Apple. Kontakta leverantören om du vill ha mer information.