O bezpečnostním obsahu aplikace QuickTime 7.1.5
Tento dokument popisuje bezpečnostní obsah aplikace QuickTime 7.1.5.
Tento dokument popisuje bezpečnostní obsah aplikace QuickTime 7.1.5, který jde stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo z tady.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple."
Aktualizace aplikace QuickTime 7.1.5
QuickTime
CVE-ID: CVE-2007-0711
K dispozici pro: Windows Vista/XP/2000
Dopad: Zobrazení škodlivého souboru 3GP může vést ke zhroucení aplikace nebo ke spuštění libovolného kódu.
Popis: Při manipulaci se soubory 3GP v QuickTimu může dojít k přetečení celých čísel. Když útočník přesvědčí uživatele k otevření škodlivého videa, může útočník aktivovat přetečení, které může vést ke zhroucení aplikace nebo spuštění libovolného kódu. Tato aktualizace řeší problém provedením dodatečného ověření videosouborů 3GP. Tento problém se netýká systému Mac OS X. Poděkování za nahlášení tohoto problému si zaslouží JJ Reyes.
QuickTime
CVE-ID: CVE-2007-0712
K dispozici pro: Mac OS X 10.3.9 a novější, Windows Vista/XP/2000
Dopad: Zobrazení škodlivého souboru MIDI může vést ke zhroucení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracovávání souborů MIDI v aplikaci QuickTime existuje možnost přetečení vyrovnávací paměti haldy. Když útočník přesvědčí uživatele k otevření škodlivého souboru MIDI, může útočník aktivovat přetečení, které může vést ke zhroucení aplikace nebo spuštění libovolného kódu. Tato aktualizace řeší problém provedením dodatečného ověření souborů MIDI. Poděkování za nahlášení tohoto problému si zaslouží Mike Price z McAfee AVERT Labs.
QuickTime
CVE-ID: CVE-2007-0713
K dispozici pro: Mac OS X 10.3.9 a novější, Windows Vista/XP/2000
Dopad: Zobrazení škodlivého videosouboru QuickTime může vést ke zhroucení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracovávání videosouborů QuickTime v aplikaci QuickTime existuje možnost přetečení vyrovnávací paměti haldy. Když útočník přesvědčí uživatele k přístupu ke škodlivému videu, může útočník aktivovat přetečení, které může vést ke zhroucení aplikace nebo spuštění libovolného kódu. Tato aktualizace řeší problém provedením dodatečného ověření filmů QuickTime. Poděkování za nahlášení tohoto problému si zaslouží Mike Price z McAfee AVERT Labs, Piotr Bania a Artur Ogloza.
QuickTime
CVE-ID: CVE-2007-0714
K dispozici pro: Mac OS X 10.3.9 a novější, Windows Vista/XP/2000
Dopad: Zobrazení škodlivého videosouboru QuickTime může vést ke zhroucení aplikace nebo ke spuštění libovolného kódu.
Popis: Při manipulaci s atomy UDTA v souborech videa v QuickTimu může dojít k přetečení celých čísel. Když útočník přesvědčí uživatele k přístupu ke škodlivému videu, může útočník aktivovat přetečení, které může vést ke zhroucení aplikace nebo spuštění libovolného kódu. Tato aktualizace řeší problém provedením dodatečného ověření filmů QuickTime. Poděkování za nahlášení tohoto problému si zaslouží Sowhat z Nevis Labs a anonymní výzkumník spolupracující s TippingPointem a iniciativou Zero Day Initiative.
QuickTime
CVE-ID: CVE-2007-0715
K dispozici pro: Mac OS X 10.3.9 a novější, Windows Vista/XP/2000
Dopad: Zobrazení škodlivého souboru PICT může vést ke zhroucení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracovávání souborů PICT v aplikaci QuickTime existuje možnost přetečení vyrovnávací paměti haldy. Když útočník přesvědčí uživatele k otevření škodlivého souboru obrázku PICT, může útočník aktivovat přetečení, které může vést ke spuštění libovolného kódu. Tato aktualizace řeší problém provedením dodatečného ověření souborů PICT. Poděkování za nahlášení tohoto problému si zaslouží Mike Price z McAfee AVERT Labs.
QuickTime
CVE-ID: CVE-2007-0716
K dispozici pro: Mac OS X 10.3.9 a novější, Windows Vista/XP/2000
Dopad: Otevření škodlivého souboru QTIF může vést ke zhroucení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracovávání souborů QTIF v aplikaci QuickTime existuje možnost přetečení vyrovnávací paměti zásobníku. Když útočník přesvědčí uživatele k přístupu ke škodlivému souboru QTIF, může útočník aktivovat přetečení, které může vést ke zhroucení aplikace nebo spuštění libovolného kódu. Tato aktualizace řeší problém provedením dodatečného ověření souborů QTIF. Poděkování za nahlášení tohoto problému si zaslouží Mike Price z McAfee AVERT Labs.
QuickTime
CVE-ID: CVE-2007-0717
K dispozici pro: Mac OS X 10.3.9 a novější, Windows Vista/XP/2000
Dopad: Otevření škodlivého souboru QTIF může vést ke zhroucení aplikace nebo ke spuštění libovolného kódu.
Popis: Při manipulaci se soubory QTIF v QuickTimu může dojít k přetečení celých čísel. Když útočník přesvědčí uživatele k přístupu ke škodlivému souboru QTIF, může útočník aktivovat přetečení, které může vést ke zhroucení aplikace nebo spuštění libovolného kódu. Tato aktualizace řeší problém provedením dodatečného ověření souborů QTIF. Poděkování za nahlášení tohoto problému si zaslouží Mike Price z McAfee AVERT Labs.
QuickTime
CVE-ID: CVE-2007-0718
K dispozici pro: Mac OS X 10.3.9 a novější, Windows Vista/XP/2000
Dopad: Otevření škodlivého souboru QTIF může vést ke zhroucení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracovávání souborů QTIF v aplikaci QuickTime existuje možnost přetečení vyrovnávací paměti haldy. Když útočník přesvědčí uživatele k přístupu ke škodlivému souboru QTIF, může útočník aktivovat přetečení, které může vést ke zhroucení aplikace nebo spuštění libovolného kódu. Tato aktualizace řeší problém provedením dodatečného ověření souborů QTIF. Poděkování za nahlášení tohoto problému si zaslouží Ruben Santamarta spolupracující s programem iDefense Vulnerability Contributor Program a JJ Reyes.
QuickTime
CVE-ID: CVE-2006-4965, CVE-2007-0059
K dispozici pro: Mac OS X 10.3.9 a novější, Windows Vista/XP/2000
Dopad: Zobrazení škodlivého videosouboru QuickTimu nebo souboru QTL může vést ke spuštění libovolného kódu JavaScript v kontextu místní domény.
Popis: V pluginu prohlížeče QuickTime existuje problém s možností skriptování mezi zónami. Když útočník přesvědčí uživatele k otevření škodlivého videosouboru QuickTime nebo souboru QTL, může útočník aktivovat problém, které může vést spuštění libovolného kódu JavaScript v kontextu místní domény. Tento problém byl popsán na webu Month of Apple Bugs (MOAB-03-01-2007). Tato aktualizace řeší problém provedením následujících změn ve zpracování URL adres v atributu qtnext souborů QTL a HREFTracks videosouborů QuickTime. Pokud je video načteno ze vzdáleného webu, jsou povoleny pouze URL adresy „http:“ a „https:“. Pokud je video načteno místně, jsou povoleny pouze URL adresy „file:“.
QuickTime 7.1.5 pro Mac nebo Windows lze získat z Aktualizace softwaru nebo ručním stažením z webu http://www.apple.com/quicktime/download/.