Informace o bezpečnostním obsahu QuickTimu 7.5
Tento dokument popisuje bezpečnostní obsah QuickTimu 7,5, který jde stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo z webu Apple se soubory ke stažení.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
QuickTime 7.5
QuickTime
CVE-ID: CVE-2008-1581
K dispozici pro: Windows Vista, XP SP2
Dopad: Otevření škodlivého souboru obrázku PICT může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém při manipulaci s obrázkem PICT v QuickTimu při zpracovávání struktur PixData může vést k přetečení vyrovnávací paměti haldy. Otevření škodlivého obrázku PICT může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Tento problém se netýká systémů s Mac OS X. Poděkování za nahlášení problému zaslouží Dyon Balding ze Secunia Research.
QuickTime
CVE-ID: CVE-2008-1582
K dispozici pro: Mac OS X 10.3.9, Mac OS X 10.4.9 až 10.4.11, Mac OS X 10.5 nebo novější, Windows Vista, XP SP2
Dopad: Otevření škodlivého obsahu médií kódovaných ve formátu AAC může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování obsahu médií kódovaných ve formátu AAC v QuickTimu existuje problém s poškozením paměti. Otevření škodlivého souboru médií může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Tato aktualizace řeší problém dalším ověřováním souborů médií. Poděkování za nahlášení problému zaslouží Dave Soldera ze společnosti NGS Software a Jens Alfke.
QuickTime
CVE-ID: CVE-2008-1583
K dispozici pro: Mac OS X 10.3.9, Mac OS X 10.4.9 až 10.4.11, Mac OS X 10.5 nebo novější, Windows Vista, XP SP2
Dopad: Otevření škodlivého souboru obrázku PICT může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při manipulaci s obrázky PICT v QuickTimu existuje problém s přetečením haldy vyrovnávací paměti. Otevření škodlivého obrázku PICT může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Poděkování za nahlášení problému zaslouží Liam O Murchu ze společnosti Symantec.
QuickTime
CVE-ID: CVE-2008-1584
K dispozici pro: Mac OS X 10.3.9, Mac OS X 10.4.9 až 10.4.11, Mac OS X 10.5 nebo novější, Windows Vista, XP SP2
Dopad: Zobrazení škodlivého obsahu videa Indeo 4 může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém při manipulaci s obsahem videokodeku Indeo v QuickTimu může vést k přetečení vyrovnávací paměti zásobníku. Zobrazení škodlivého filmového souboru s videokodekem Indeo může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Tato aktualizace řeší problém tím, že nerenderuje obsah videokodeku Indeo 4. Oznámení tohoto problému je zásluhou anonymního výzkumníka spolupracujícího se Zero Day Initiative společnosti TippingPoint.
QuickTime
CVE-ID: CVE-2008-1585
K dispozici pro: Mac OS X 10.3.9, Mac OS X 10.4.9 až 10.4.11, Mac OS X 10.5 nebo novější, Windows Vista, XP SP2
Dopad: Přehrávání škodlivého obsahu QuickTimu v QuickTime Playeru může vést ke spuštění libovolného kódu.
Popis: Při zpracování adres URL file: v QuickTimu existuje problém se zpracováním adres URL. To může umožnit spuštění libovolných aplikací a souborů, když uživatel v QuickTime Playeru přehraje škodlivý obsah QuickTimu. Tato aktualizace řeší problém zobrazením souborů ve Finderu nebo Průzkumníku Windows místo jejich spuštění. Poděkování za nahlášení problému zaslouží Vinoo Thomas a Rahul Mohandas z McAfee Avert Labs a Petko D. (pdp) Petkov z GNUCITIZEN ve spolupráci s TippingPoint Zero Day Initiative.
QuickTime
CVE-ID: CVE-2008-2319
K dispozici pro: Mac OS X 10.3.9, Mac OS X 10.4.9 až 10.4.11, Mac OS X 10.5 nebo novější, Windows Vista, XP SP2
Dopad: Otevření škodlivého souboru obrázku PICT může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém s rozšířením znaménka při zpracování obrázků PICT v QuickTimu může vést k přetečení vyrovnávací paměti haldy. Otevření škodlivého obrázku PICT může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Tato aktualizace řeší problém tím, že s hodnotou zachází jako s hodnotou bez znaménka. Poděkování za nahlášení problému zaslouží Sergio „shadown“ Alvarez ze společnosti n.runs AG.