關於 QuickTime 7.5.5 的安全性內容

  • 最後更新: 14 十月, 2008
  • 文章: HT3027

摘要

本文描述了 QuickTime 7.5.5 安全性內容,可透過 軟體更新偏好設定或從 Apple 下載網頁下載並安裝。

為了保護客戶利益,在執行完整調查並且可以使用所有必要的修補程式或發行版本之前,Apple 不會洩漏、討論或確認安全性問題。若要瞭解有關“Apple 產品安全性”的更多資訊,請造訪 Apple 產品安全性網站。

如需有關“Apple 產品安全性 PGP 金鑰”的資訊,請參閱“How to use the Apple Product Security PGP Key”。

如有可能,可以使用 CVE ID 參閱有關漏洞的進一步資訊。

若要瞭解其他“安全性更新”,請參閱“Apple 安全性更新”。

受影響的產品

QuickTime, 產品安全性

QuickTime 7.5.5

  • Quicktime

    CVE-ID: CVE-2008-3615

    適用於:Windows Vista、XP SP2 和 SP3

    影響:檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行

    說明:尚未初始化的記憶體存取問題存在於協力廠商為 QuickTime 開發的 Indeo v5 編解碼器中,此編解碼器並未隨附於 QuickTime 中。檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行。此更新對以所有版本的 Indeo 編解碼器所編碼的內容進行運算,解決此問題。此問題不會影響執行 Mac OS X 的系統。感謝 NGSSoftware 的 Paul Byrne 報告此問題。

  • Quicktime

    CVE-ID: CVE-2008-3635

    適用於:Windows Vista、XP SP2 和 SP3

    影響:檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行

    說明:堆疊緩衝區溢位存在於協力廠商為 QuickTime 開發的 Indeo v3.2 編解碼器中。檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行。此更新藉由不運算任何版本 Indeo 編解碼器所編碼的內容,解決此問題。此問題不會影響執行 Mac OS X 的系統。感謝 ZDI 的匿名研究人員報告此問題。

  • Quicktime

    CVE-ID: CVE-2008-3624

    適用於:Mac OS X v10.4.9 - v10.4.11、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 和 SP3

    影響:檢視惡意製作的 QTVR 影片檔案可能導致非預期的應用程式終止或程式碼自動執行

    說明:QuickTime 處理 QTVR (QuickTime 虛擬實境技術) 影片檔案中的全景畫面單元時發生堆積緩衝區溢位。檢視惡意製作的 QTVR 檔案可能導致非預期的應用程式終止或程式碼自動執行。此更新透過改善全景畫面單元界限的檢查方式,解決此問題。感謝 IBM Rational Application Security Research Group 的 Roee Hay 報告此問題。

  • Quicktime

    CVE-ID:CVE-2008-3625

    適用於:Mac OS X v10.4.9 - v10.4.11、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 和 SP3

    影響:檢視惡意製作的 QTVR 影片檔案可能導致非預期的應用程式終止或程式碼自動執行

    說明:QuickTime 處理 QTVR (QuickTime 虛擬實境技術) 影片檔案中的全景畫面單元時發生堆疊緩衝區溢位。檢視惡意製作的 QTVR 檔案可能導致非預期的應用程式終止或程式碼自動執行。此更新透過提升全景畫面單元的界限檢查,解決問題。感謝任職於 TippingPoint Zero Day Initiative 的匿名研究員報告此問題。

  • Quicktime

    CVE-ID: CVE-2008-3614

    適用於:Windows Vista、XP SP2 和 SP3

    影響:開啟惡意製作的 PICT 影像可能造成非預期的應用程式終止或程式碼自動執行

    說明:QuickTime 處理 PICT 影像時,發生整數溢位。開啟惡意製作的 PICT 影像可能造成非預期的應用程式終止或程式碼自動執行。此更新將會藉由執行額外的 PICT 影像驗證,解決此問題。感謝任職於 iDefense VCP 的匿名研究人員報告此問題。

  • Quicktime

    CVE-ID: CVE-2008-3626

    適用於:Mac OS X v10.4.9 - v10.4.11、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 和 SP3

    影響:檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行

    說明:QuickTime 處理影片檔案的 STSZ 單元時,發生記憶體損毀問題。檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行。此更新透過提升對 STSZ 單元界限的檢查,解決此問題。感謝任職於 TippingPoint Zero Day Initiative 的匿名研究員報告此問題。

  • Quicktime

    CVE-ID: CVE-2008-3627

    適用於:Mac OS X v10.4.9 - v10.4.11、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 和 SP3

    影響:檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行

    說明:QuickTim 處理以 H.264 編碼的影片檔案時,發生多個記憶體損毀問題。檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行。此更新藉由對以 H.264 編碼的影片檔案執行其他驗證,解決此問題。感謝任職於 TippingPoint 之 Zero Day Initiative 的匿名研究員與 Subreption LLC 報告此問題。

  • Quicktime

    CVE-ID: CVE-2008-3628

    適用於:Windows Vista、XP SP2 和 SP3

    影響:開啟惡意製作的 PICT 影像可能造成非預期的應用程式終止或程式碼自動執行

    說明:QuickTime 處理 PICT 影像時,發生無效指標問題。開啟惡意製作的 PICT 影像可能造成非預期的應用程式終止或程式碼自動執行。此更新藉由正確儲存與回復整體變數,解決此問題。此問題不會影響執行 Mac OS X 的系統。感謝 David Wharton 報告此問題。

  • Quicktime

    CVE-ID: CVE-2008-3629

    適用於:Mac OS X v10.4.9 - v10.4.11、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 和 SP3

    影響:開啟惡意製作的 PICT 影像可能造成非預期的應用程式終止

    說明:QuickTime 處理 PICT 影像時,發生超出界限讀取問題。開啟惡意製作的 PICT 影像可能造成非預期的應用程式終止。此更新將會藉由執行額外的 PICT 影像驗證,解決此問題。感謝 n.runs AG 的 Sergio 'shadown' Alvarez 報告此問題。

其他資訊

重要事項:非 Apple 所製造之產品的相關資訊僅為提供資訊之目的,且不構成 Apple 之建議或背書。如需其他資訊,請聯絡供應商