Informacje o funkcjach programu QuickTime 7.6.2 dotyczących zabezpieczeń
Podsumowanie
Ten dokument zawiera opis funkcji dotyczących zabezpieczeń w programie QuickTime 7.6.2, który można pobrać i zainstalować za pomocą preferencji funkcji Uaktualnienie oprogramowania lub z witryny plików do pobrania firmy Apple.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Jak używać klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk są używane identyfikatory z katalogu CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Dotyczy produktów
QuickTime 7 (Windows), QuickTime 7 (OS X), Bezpieczeństwo produktów
QuickTime 7.6.2
-
QuickTime
Identyfikator CVE: CVE-2009-0188
Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i Windows XP SP3
Zagrożenie: otwarcie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi plików wideo Sorensen 3 programu QuickTime istnieje błąd, który może spowodować uszkodzenie zawartości pamięci. Może to doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez wprowadzenie dodatkowych procedur sprawdzania poprawności plików wideo Sorensen 3. Problem zgłosił Carsten Eiram z firmy Secunia Research.
-
QuickTime
Identyfikator CVE: CVE-2009-0951
Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i Windows XP SP3
Zagrożenie: otwarcie złośliwie spreparowanego skompresowanego pliku FLC może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi skompresowanych plików FLC istnieje błąd powodujący przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego skompresowanego pliku FLC może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem, poprawiając sprawdzanie ograniczeń. Problem zgłosił anonimowy badacz współpracujący z witryną Zero Day Initiative firmy TippingPoint.
-
QuickTime
Identyfikator CVE: CVE-2009-0952
Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i Windows XP SP3
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu PSD może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.
Opis: w trakcie przetwarzania skompresowanego obrazu PSD może wystąpić przepełnienie buforu. Otwarcie złośliwie spreparowanego skompresowanego pliku PSD może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem, poprawiając sprawdzanie ograniczeń. Problem zgłosił Damian Put współpracujący z witryną Zero Day Initiative firmy TippingPoint.
-
QuickTime
Identyfikator CVE: CVE-2009-0010
Dostępne dla: Windows Vista i Windows XP SP3
Zagrożenie: otwarcie złośliwie spreparowanego obrazu PICT może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.
Opis: niedomiar całkowitoliczbowy występujący w procedurach obsługi obrazów PICT programu QuickTime może spowodować przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego pliku PICT może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez wprowadzenie dodatkowych procedur sprawdzania poprawności obrazów PICT. Problem zgłosili Sebastian Apelt współpracujący z witryną Zero Day Initiative firmy TippingPoint oraz Chris Ries z działu Computing Services uczelni Carnegie Mellon University.
-
QuickTime
Identyfikator CVE: CVE-2009-0953
Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i Windows XP SP3
Zagrożenie: otwarcie złośliwie spreparowanego obrazu PICT może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi obrazów PICT programu QuickTime istnieje błąd powodujący przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego pliku PICT może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez wprowadzenie dodatkowych procedur sprawdzania poprawności obrazów PICT. Problem zgłosił Sebastian Apelt współpracujący z witryną Zero Day Initiative firmy TippingPoint .
-
QuickTime
Identyfikator CVE: CVE-2009-0954
Dostępne dla: Windows Vista i Windows XP SP3
Zagrożenie: otwarcie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.
Opis: w mechanizmie obsługi typów atomów regionów przycinania (CRGN) pliku filmu programu QuickTime istnieje błąd powodujący przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem, poprawiając sprawdzanie ograniczeń. Ten problem nie występuje na komputerach z systemem Mac OS X. Problem zgłosił anonimowy badacz współpracujący z witryną Zero Day Initiative firmy TippingPoint.
-
QuickTime
Identyfikator CVE: CVE-2009-0185
Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i Windows XP SP3
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.
Opis: w mechanizmie obsługi danych dźwiękowych zakodowanych w formacie MS ADPCM istnieje błąd powodujący przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem, poprawiając sprawdzanie ograniczeń. Problem zgłosił Alin Rad Pop z firmy Secunia Research.
-
QuickTime
Identyfikator CVE: CVE-2009-0955
Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i Windows XP SP3
Zagrożenie: otwarcie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi atomów opisu obrazu w programie QuickTime istnieje błąd związany z rozszerzeniem podpisywania. Otwarcie złośliwie spreparowanego pliku wideo Apple może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem, poprawiając sprawdzanie poprawności atomów opisów. Problem zgłosił Roee Hay z grupy Rational Application Security Research Group firmy IBM.
-
QuickTime
Identyfikator CVE: CVE-2009-0956
Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i Windows XP SP3
Zagrożenie: wyświetlenie pliku filmu ze złośliwie spreparowanym atomem danych użytkownika może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.
Opis: w mechanizmie obsługi plików filmów w programie QuickTime istnieje błąd niezainicjowanego dostępu do pamięci. Wyświetlenie pliku filmu z atomem danych użytkownika o zerowym rozmiarze może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez wprowadzenie dodatkowego sprawdzania poprawności plików filmów i wyświetlania okna dialogowego ostrzegającego użytkownika. Problem zgłosiła Lurene Grenier z firmy Sourcefire, Inc. (VRT).
-
QuickTime
Identyfikator CVE: CVE-2009-0957
Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i Windows XP SP3
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu JP2 może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.
Opis: w kodzie obsługi obrazów JP2 programu QuickTime istnieje błąd powodujący przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanego obrazu JP2 może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem, poprawiając sprawdzanie ograniczeń. Problem zgłosili Charlie Miller z firmy Independent Security Evaluators oraz Damian Put współpracujący z witryną Zero Day Initiative firmy TippingPoint.
Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.