Informace o bezpečnostním obsahu QuickTimu 7.3

Tento dokument popisuje bezpečnostní obsah QuickTimu 7.3, který lze stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo na webu Apple se soubory ke stažení.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

QuickTime 7.3

QuickTime

CVE-ID: CVE-2007-2395

K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Při manipulaci s atomy popisu obrázku v QuickTimu dochází k problému s poškozením paměti. Nalákáním uživatele k otevření škodlivého videosouboru může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší provedením dodatečného ověření popisů obrázků QuickTimu. Poděkování zaslouží Dylan Ashe z týmu Adobe Systems Incorporated za nahlášení tohoto problému.

QuickTime

CVE-ID: CVE-2007-3750

K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Při manipulaci s atomy Sample Table Sample Descriptor (STSD) přehrávačem QuickTime Player dochází k přetečení vyrovnávací paměti haldy. Nalákáním uživatele k otevření škodlivého videosouboru může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší provedením dodatečného ověření atomů STSD. Poděkování zaslouží Tobias Klein z týmu www.trapkit.de za nahlášení tohoto problému.

QuickTime

CVE-ID: CVE-2007-3751

K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Nedůvěryhodné aplety Java mohou získat vyšší oprávnění.

Popis: V aplikaci QuickTime for Java existuje několik bezpečnostních slabin, které mohou umožnit nedůvěryhodným apletům Java získat vyšší oprávnění. Nalákáním uživatele k návštěvě webové stránky obsahující škodlivý applet Java může útočník způsobit prozrazení citlivých informací a spuštění libovolného kódu s vyššími oprávněními. Aktualizace tyto problémy řeší tím, že aplikace QuickTime for Java již není přístupná pro nedůvěryhodné applety Java. Poděkování zaslouží Adam Gowdiak za nahlášení tohoto problému.

QuickTime

CVE-ID: CVE-2007-4672

K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Otevření škodlivého obrázku PICT může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Při zpracování obrázku PICT dochází k přetečení mezipaměti zásobníku. Nalákáním uživatele k otevření škodlivého obrázku může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší provedením dodatečného ověření souborů PICT. Poděkování zaslouží Ruben Santamarta z týmu reversemode.com ve spolupráci s týmem TippingPoint a iniciativou Zero Day za nahlášení tohoto problému.

QuickTime

CVE-ID: CVE-2007-4676

K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Otevření škodlivého obrázku PICT může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Při zpracování obrázku PICT dochází k přetečení mezipaměti haldy. Nalákáním uživatele k otevření škodlivého obrázku může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší provedením dodatečného ověření souborů PICT. Poděkování zaslouží Ruben Santamarta z týmu reversemode.com ve spolupráci s týmem TippingPoint a iniciativou Zero Day za nahlášení tohoto problému.

QuickTime

CVE-ID: CVE-2007-4675

K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Zobrazení škodlivého videosouboru QTVR může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Při manipulaci s atomy panoramatických vzorků ve videosouborech QTVR (QuickTime Virtual Reality) dochází k přetečení vyrovnávací paměti haldy. Nalákáním uživatele k zobrazení škodlivého souboru QTVR může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší provedením kontroly hranic atomů panoramatických vzorků. Poděkování zaslouží Mario Ballano z týmu 48bits.com ve spolupráci s VeriSign iDefense VCP za nahlášení tohoto problému.

QuickTime

CVE-ID: CVE-2007-4677

K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Při analýze atomu tabulky barev při otevírání videosouboru dochází k přetečení vyrovnávací paměti haldy. Nalákáním uživatele k otevření škodlivého videosouboru může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší provedením dodatečného ověření atomů tabulky barev. Poděkování zaslouží Ruben Santamarta z týmu reversemode.com a Mario Ballano z týmu 48bits.com ve spolupráci s týmem TippingPoint a iniciativou Zero Day za nahlášení tohoto problému.

QuickTime

CVE-ID: CVE-2007-4674

K dispozici pro: Mac OS X v10.3.9, Mac OS X v10.4.9 a novější, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Aritmetický problém celých čísel, když aplikace QuickTime manipuluje s určitými atomy videosouborů, může vést k přetečení vyrovnávací paměti zásobníku. Nalákáním uživatele k otevření škodlivého videosouboru může vzdálený útočník způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší vylepšeným zpracováním polí délky atomu ve videosouborech. Poděkování zaslouží Cody Pierce z týmu TippingPoint DVLabs za nahlášení tohoto problému.