Om säkerhetsinnehållet i QuickTime 7.6.2

  • Senast ändrad: 02 juni, 2009
  • Artikel: HT3591

Översikt

Detta dokument beskriver säkerhetsinnehållet i QuickTime 7.6.2, som kan hämtas och installeras via inställningspanelen för Programuppdatering eller från webbsidan Apples filhämtningar.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har utförts och alla nödvändiga buggfixar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple Product Security.

Information om Apples PGP-nyckel för produktsäkerhet finns i "Så här använder du en PGP-nyckel från Apple Product Security".

Om möjligt används CVE-ID:n som referenser till ytterligare information om sårbarheterna.

Mer information om andra säkerhetsuppdateringar finns på "Apple Security Updates".

Berörda produkter

QuickTime 7 (Windows), QuickTime 7 (OS X), Produktsäkerhet

QuickTime 7.6.2

  • QuickTime

    CVE-ID: CVE-2009-0188

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista och XP SP3

    Effekt: Om en skadlig filmfil öppnas kan det leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett problem med skadat minnesinnehåll förekommer i QuickTimes hantering av Sorenson 3-videofiler. Det kan leda till oväntad programavslutning eller körning av opålitlig kod. Denna uppdatering åtgärdar problemet genom att utföra ytterligare validering av Sorenson 3-videofiler. Tack till Carsten Eiram på Secunia Research, som rapporterade problemet.

  • QuickTime

    CVE-ID: CVE-2009-0951

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista och XP SP3

    Effekt: Öppning av en skadlig FLC-komprimeringsfil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Heap-buffertspill förekommer vid hantering av FLC-komprimeringsfiler. Om en skadlig FLC-komprimeringsfil öppnas kan det leda till oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att förbättra gränskontrollen. Tack till en anonym medhjälpare i samarbete med TippingPoints Zero Day Initiative som rapporterade det här problemet.

  • QuickTime

    CVE-ID: CVE-2009-0952

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista och XP SP3

    Effekt: Visning av en PSD-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett buffertspill kan uppkomma när en komprimerad PSD-bild behandlas. Öppning av en komprimerad PSD-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att förbättra gränskontrollerna. Tack till Damian Put i samarbete med TippingPoints Zero Day Initiative som rapporterade det här problemet.

  • QuickTime

    CVE-ID: CVE-2009-0010

    Tillgänglig för: Windows Vista och SP3

    Effekt: Öppning av en PICT-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett heltalsunderskott i hanteringen av PICT-bilder i QuickTime kan leda till heap-buffertspill. Öppning av en PICT-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare verifiering av PICT-bilder. Tack till Sebastian Apelt, som samarbetar med TippingPoints Zero Day Initiative, och tack till Chris Ries på Carnegie Mellon University Computing Services. Båda rapporterade problemet.

  • QuickTime

    CVE-ID: CVE-2009-0953

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista och XP SP3

    Effekt: Öppning av en PICT-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett heap-buffertspill förekommer vid QuickTimes hantering av PICT-bilder. Öppning av en PICT-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare verifiering av PICT-bilder. Tack till Sebastian Apelt i samarbete med TippingPoints Zero Day Initiative som rapporterade det här problemet.

  • QuickTime

    CVE-ID: CVE-2009-0954

    Tillgänglig för: Windows Vista och SP3

    Effekt: Öppning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett heap-buffertspill inträffar när QuickTime hanterar CRGN-atomtyper (Clipping Region) i en filmfil. Öppning av en filmfil med skadligt innehåll kan leda till oväntad avstängning av program eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att förbättra gränskontrollerna. Detta problem påverkar inte Mac OS X-system. Tack till anonym medhjälpare i samarbete med TippingPoints Zero Day Initiative som rapporterade det här problemet.

  • QuickTime

    CVE-ID: CVE-2009-0185

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista och XP SP3

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett heap-buffertspill förekommer vid hantering av MS ADPCM-kodade ljuddata. Uppspelning av en uppsåtligt skapad filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod. Den här uppdateringen löser problemet genom att förbättra gränskontrollen. Tack till Alin Rad Pop på Secunia Research, som rapporterade problemet.

  • QuickTime

    CVE-ID: CVE-2009-0955

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista och XP SP3

    Effekt: Öppning av en skadlig videofil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett problem med signeringstillägg förekommer i QuickTimes hantering av bildbeskrivningsatomer. Öppning av en skadlig Apple-videofil kan leda till oväntad programavslutning eller körning av opålitlig kod. Denna uppdatering åtgärdar problemet genom förbättrad verifiering av beskrivningsatomer. Tack till Roee Hay på IBM Rational Application Security Research Group som rapporterade problemet.

  • QuickTime

    CVE-ID: CVE-2009-0956

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista och XP SP3

    Effekt: Att visa en filmfil med en skadlig användardataatom kan leda till oväntad avstängning av program eller körning av opålitlig kod.

    Beskrivning: Ett problem med oinitierad minnesåtkomst förekommer i QuickTimes hantering av filmfiler. Om en filmfil med en användardataatom med storlek noll visas kan det leda till oväntad avstängning av program eller körning av opålitlig kod. Denna uppdatering åtgärdar problemet genom att ytterligare validering av filmfiler utförs och genom att en varningsdialog visas för användaren. Tack till Lurene Grenier på Sourcefire, Inc. (VRT), som rapporterade problemet.

  • QuickTime

    CVE-ID: CVE-2009-0957

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista och XP SP3

    Effekt: Visning av en JP2-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: En heap-buffertspill förekommer vid QuickTimes hantering av JP2-bilder. Om en JP2-bild med skadligt innehåll visas kan det leda till oväntad programavslutning eller körning av opålitlig kod. I den här uppdateringen åtgärdas problemet genom förbättrad gränskontroll. Tack till Charlie Miller på Independent Security Evaluators, och Damian Put som samarbetar med TippingPoints Zero Day Initiative. Båda rapporterade problemet.

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.