Informace o bezpečnostním obsahu QuickTimu 7.3.1

Tento dokument popisuje bezpečnostní obsah QuickTimu 7.3.1, který jde stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo z webu Apple se soubory ke stažení.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

QuickTime 7.3.1

QuickTime

CVE-ID: CVE-2007-6166

K dispozici pro: Mac OS X 10.3.9, Mac OS X 10.4.9 nebo novější, Mac OS X 10.5 nebo novější, Windows Vista, XP SP2

Dopad: Zobrazení škodlivého videa RTSP může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Při manipulaci se záhlavími RTSP (Real Time Streaming Protocol) v QuickTimu dochází k přetečení vyrovnávací paměti. Když útočník uživatele naláká k zobrazení škodlivého videa RTSP, může způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Tato aktualizace řeší problém zajištěním takové velikosti cílové vyrovnávací paměti, aby se do ní data vešla.

QuickTime

CVE-ID: CVE-2007-4706

K dispozici pro: Mac OS X 10.3.9, Mac OS X 10.4.9 nebo novější, Mac OS X 10.5 nebo novější, Windows Vista, XP SP2

Dopad: Zobrazení škodlivého souboru QTL může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Při manipulaci se soubory QTL v QuickTimu existuje problém s přetečením haldy vyrovnávací paměti. Když útočník uživatele naláká k zobrazení škodlivého souboru QTL, může způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší vylepšením kontroly rozsahu.

QuickTime

CVE-ID: CVE-2007-4707

K dispozici pro: Mac OS X 10.3.9, Mac OS X 10.4.9 nebo novější, Mac OS X 10.5 nebo novější, Windows Vista, XP SP2

Dopad: Několik zranitelností v obslužném programu Flash v QuickTimu

Popis: V obslužném programu Flash v QuickTimu existuje několik zranitelností, z nichž ty nejzávažnější můžou vést ke spuštění libovolného kódu. Tahle aktualizace obslužný program médií Flash v QuickTimu zakazuje, s výjimkou omezeného počtu stávajících videí QuickTime, o kterých je známo, že jsou bezpečná. Poděkování za nahlášení problému zaslouží Tom Ferris z týmu Adobe Secure Software Engineering Team (ASSET), Mike Price ze společnosti McAfee Avert Labs, bezpečnostní výzkumník Lionel d'Hauenens a Brian Mariani ze Syseclabs a anonymní výzkumník spolupracující se Zero Day Initiative společnosti TippingPoint.