Informacje o zawartości związanej z zabezpieczeniami w programie QuickTime 7.7.1
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w programie QuickTime 7.7.1.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
QuickTime 7.7.1
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików wideo z kodowaniem H.264 przez QuickTime występowało przepełnienie buforu. W przypadku komputerów z systemem OS X Lion ten problem rozwiązano w systemie OS X Lion 10.7.2. W przypadku komputerów z systemem Mac OS X 10.6 ten problem rozwiązano w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3219: Damian Put w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować ujawnienie zawartości pamięci.
Opis: w procedurze obsługi danych adresów URL w plikach wideo przez QuickTime występował problem związany z niezainicjowanym dostępem do pamięci. W przypadku komputerów z systemem OS X Lion ten problem rozwiązano w systemie OS X Lion 10.7.2. W przypadku komputerów z systemem Mac OS X 10.6 ten problem rozwiązano w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3220: Luigi Auriemma w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi hierarchii atomów w pliku wideo przez QuickTime występował problem z wdrożeniem. W przypadku komputerów z systemem OS X Lion ten problem rozwiązano w systemie OS X Lion 10.7.2. W przypadku komputerów z systemem Mac OS X 10.6 ten problem rozwiązano w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3221: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: atakujący znajdujący się w uprzywilejowanej pozycji sieciowej może wprowadzić skrypt do domeny lokalnej podczas przeglądania szablonu HTML.
Opis: w procedurze eksportu z wykorzystaniem opcji Save for Web (Zapisz dla sieci) w programie QuickTime Player występował problem umożliwiający przeprowadzenie ataku XSS (cross-site scripting). Pliki HTML szablonu wygenerowane przez tę funkcję odwoływały się do pliku skryptu z niezaszyfrowanego źródła. Atakujący znajdujący się w uprzywilejowanej pozycji sieciowej może być w stanie wprowadzić złośliwe skrypty do domeny lokalnej, jeśli użytkownik wyświetli plik szablonu lokalnie. Problem ten rozwiązano przez usunięcie odniesienia do skryptu online. Ten problem nie występuje na komputerach z systemem OS X Lion. W przypadku systemów Mac OS X 10.6 ten problem został rozwiązany w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3218: Aaron Sigel z vtty.com
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku FlashPix może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików FlashPix przez QuickTime występowało przepełnienie buforu. W przypadku komputerów z systemem OS X Lion ten problem rozwiązano w systemie OS X Lion 10.7.2. W przypadku komputerów z systemem Mac OS X 10.6 ten problem rozwiązano w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3222: Damian Put w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików FLIC przez QuickTime występowało przepełnienie buforu. W przypadku komputerów z systemem OS X Lion ten problem rozwiązano w systemie OS X Lion 10.7.2. W przypadku komputerów z systemem Mac OS X 10.6 ten problem rozwiązano w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3223: Matt „j00ru” Jurczyk pracujący w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików wideo przez QuickTime występowało wiele problemów związanych z uszkodzeniem pamięci. W przypadku systemów OS X Lion problemy te rozwiązano w wersji OS X Lion 10.7.2, a w przypadku systemów Mac OS X 10.6 — w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3228: Apple
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików PICT występował problem związany z przekroczeniem zakresu liczb całkowitych. Ten problem nie występuje na komputerach z systemem Mac OS X.
Identyfikator CVE
CVE-2011-3247: Luigi Auriemma w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi tabel czcionek osadzonych w plikach wideo QuickTime występował problem związany ze znakowością zmiennych.
Identyfikator CVE
CVE-2011-3248: Luigi Auriemma w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików wideo z kodowaniem FLC występował problem związany z przepełnieniem buforu.
Identyfikator CVE
CVE-2011-3249: Matt „j00ru” Jurczyk pracujący w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików wideo z kodowaniem JPEG2000 występował problem związany z przekroczeniem zakresu liczb całkowitych.
Identyfikator CVE
CVE-2011-3250: Luigi Auriemma w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi atomów TKHD w plikach wideo QuickTime występował problem związany z uszkodzeniem pamięci. Ten problem nie występuje na komputerach z systemem Mac OS X.
Identyfikator CVE
CVE-2011-3251: Damian Put w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików wideo z kodowaniem RLE przez QuickTime występowało przepełnienie buforu. Ten problem nie występuje na komputerach z systemem Mac OS X.
Identyfikator CVE
CVE-2011-3428: Luigi Auriemma w ramach programu Zero Day Initiative firmy TippingPoint
Ważne: wzmianka o witrynach internetowych i produktach osób trzecich ma charakter wyłącznie informacyjny i nie stanowi rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności w związku z wyborem, działaniem lub korzystaniem z informacji lub produktów znalezionych w witrynach internetowych osób trzecich. Apple podaje je tylko jako udogodnienie dla naszych użytkowników. Firma Apple nie przetestowała informacji znalezionych w tych witrynach i nie składa żadnych oświadczeń dotyczących ich dokładności lub wiarygodności. Korzystanie z jakichkolwiek informacji lub produktów znalezionych w Internecie wiąże się z ryzykiem, a Apple nie ponosi żadnej odpowiedzialności w tym zakresie. Należy pamiętać, że witryna osoby trzeciej jest niezależna od Apple i że Apple nie ma kontroli nad zawartością tej witryny. Dodatkowe informacje można uzyskać, kontaktując się z dostawcą.