Informace o bezpečnostním obsahu QuickTimu 7.3
Tento dokument popisuje bezpečnostní obsah QuickTimu 7.3, který lze stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo na webu Apple se soubory ke stažení.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
QuickTime 7.3
QuickTime
CVE-ID: CVE-2007-2395
K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při manipulaci s atomy popisu obrázku v QuickTimu dochází k problému s poškozením paměti. Nalákáním uživatele k otevření škodlivého videosouboru může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší provedením dodatečného ověření popisů obrázků QuickTimu. Poděkování zaslouží Dylan Ashe z týmu Adobe Systems Incorporated za nahlášení tohoto problému.
QuickTime
CVE-ID: CVE-2007-3750
K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při manipulaci s atomy Sample Table Sample Descriptor (STSD) přehrávačem QuickTime Player dochází k přetečení vyrovnávací paměti haldy. Nalákáním uživatele k otevření škodlivého videosouboru může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší provedením dodatečného ověření atomů STSD. Poděkování zaslouží Tobias Klein z týmu www.trapkit.de za nahlášení tohoto problému.
QuickTime
CVE-ID: CVE-2007-3751
K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2
Dopad: Nedůvěryhodné aplety Java mohou získat vyšší oprávnění.
Popis: V aplikaci QuickTime for Java existuje několik bezpečnostních slabin, které mohou umožnit nedůvěryhodným apletům Java získat vyšší oprávnění. Nalákáním uživatele k návštěvě webové stránky obsahující škodlivý applet Java může útočník způsobit prozrazení citlivých informací a spuštění libovolného kódu s vyššími oprávněními. Aktualizace tyto problémy řeší tím, že aplikace QuickTime for Java již není přístupná pro nedůvěryhodné applety Java. Poděkování zaslouží Adam Gowdiak za nahlášení tohoto problému.
QuickTime
CVE-ID: CVE-2007-4672
K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2
Dopad: Otevření škodlivého obrázku PICT může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování obrázku PICT dochází k přetečení mezipaměti zásobníku. Nalákáním uživatele k otevření škodlivého obrázku může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší provedením dodatečného ověření souborů PICT. Poděkování zaslouží Ruben Santamarta z týmu reversemode.com ve spolupráci s týmem TippingPoint a iniciativou Zero Day za nahlášení tohoto problému.
QuickTime
CVE-ID: CVE-2007-4676
K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2
Dopad: Otevření škodlivého obrázku PICT může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování obrázku PICT dochází k přetečení mezipaměti haldy. Nalákáním uživatele k otevření škodlivého obrázku může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší provedením dodatečného ověření souborů PICT. Poděkování zaslouží Ruben Santamarta z týmu reversemode.com ve spolupráci s týmem TippingPoint a iniciativou Zero Day za nahlášení tohoto problému.
QuickTime
CVE-ID: CVE-2007-4675
K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2
Dopad: Zobrazení škodlivého videosouboru QTVR může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při manipulaci s atomy panoramatických vzorků ve videosouborech QTVR (QuickTime Virtual Reality) dochází k přetečení vyrovnávací paměti haldy. Nalákáním uživatele k zobrazení škodlivého souboru QTVR může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší provedením kontroly hranic atomů panoramatických vzorků. Poděkování zaslouží Mario Ballano z týmu 48bits.com ve spolupráci s VeriSign iDefense VCP za nahlášení tohoto problému.
QuickTime
CVE-ID: CVE-2007-4677
K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při analýze atomu tabulky barev při otevírání videosouboru dochází k přetečení vyrovnávací paměti haldy. Nalákáním uživatele k otevření škodlivého videosouboru může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší provedením dodatečného ověření atomů tabulky barev. Poděkování zaslouží Ruben Santamarta z týmu reversemode.com a Mario Ballano z týmu 48bits.com ve spolupráci s týmem TippingPoint a iniciativou Zero Day za nahlášení tohoto problému.
QuickTime
CVE-ID: CVE-2007-4674
K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Aritmetický problém celých čísel, když aplikace QuickTime manipuluje s určitými atomy videosouborů, může vést k přetečení vyrovnávací paměti zásobníku. Nalákáním uživatele k otevření škodlivého videosouboru může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší vylepšeným zpracováním polí délky atomu ve videosouborech. Poděkování zaslouží Cody Pierce z týmu TippingPoint DVLabs za nahlášení tohoto problému.
Důležité: Informace o produktech, které nevyrábí společnost Apple, jsou poskytovány pouze pro informační účely a nepředstavují doporučení ani schválení společnosti Apple. Další informace vám poskytne dodavatel.