Om sikkerhedsindholdet i QuickTime 7.3
I dette dokument beskrives sikkerhedsindholdet i QuickTime 7.3, som kan downloades og installeres via indstillingerne for Softwareopdatering eller fra Apple Overførsler.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple-produktsikkerhed".
Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
QuickTime 7.3
QuickTime
CVE-id: CVE-2007-2395
Fås til: Mac OS X v10.3.9, Mac OS X v10.4.9 eller nyere, Mac OS X v10.5, Windows Vista, XP SP2
Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
Beskrivelse: Der findes et problem med beskadiget hukommelse ved QuickTimes håndtering af billedbeskrivelsesatomer. En hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode ved at lokke en bruger til at åbne et skadeligt filmarkiv. Denne opdatering løser problemet ved at udføre yderligere validering af QuickTime-billedbeskrivelser. Tak til Dylan Ashe fra Adobe Systems Incorporated, som har rapporteret problemet.
QuickTime
CVE-id: CVE-2007-3750
Fås til: Mac OS X v10.3.9, Mac OS X v10.4.9 eller nyere, Mac OS X v10.5, Windows Vista, XP SP2
Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
Beskrivelse: Der findes er et heap-bufferoverløb i håndteringen af STSD-atomer (Sample Table Sample Descriptor) i QuickTime Player. En hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode ved at lokke en bruger til at åbne et skadeligt filmarkiv. Denne opdatering løser problemet ved at udføre yderligere validering af STSD-atomer. Tak til Tobias Klein fra www.trapkit.de, som har rapporteret problemet.
QuickTime
CVE-id: CVE-2007-3751
Fås til: Mac OS X v10.3.9, Mac OS X v10.4.9 eller nyere, Mac OS X v10.5, Windows Vista, XP SP2
Effekt: Ikke-godkendte Java-applets kan opnå ekstra rettigheder.
Beskrivelse: Der findes flere sårbarheder i QuickTime til Java, som kan tillade, at ikke-godkendte Java-applets opnår ekstra rettigheder. En hacker kan muligvis forårsage afsløring af følsomme oplysninger og kørsel af vilkårlig kode med ekstra rettigheder ved at lokke en bruger til at besøge en webside, der indeholder en skadelig Java-applet. Denne opdatering løser problemerne ved at sørge for, at QuickTime til Java ikke længere er tilgængelig for ikke-godkendte Java-applets. Tak til Adam Gowdiak, som har rapporteret problemet.
QuickTime
CVE-id: CVE-2007-4672
Fås til: Mac OS X v10.3.9, Mac OS X v10.4.9 eller nyere, Mac OS X v10.5, Windows Vista, XP SP2
Effekt: Åbning af et skadeligt PICT-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
Beskrivelse: Der findes et stack-bufferoverløb i behandlingen af PICT-billeder. En hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode ved at lokke en bruger til at åbne et skadeligt billede. Denne opdatering løser problemet ved at udføre yderligere validering af PICT-filer. Tak til Ruben Santamarta fra reversemode.com, der arbejder med TippingPoint og Zero Day Initiative, og som har rapporteret problemet.
QuickTime
CVE-id: CVE-2007-4676
Fås til: Mac OS X v10.3.9, Mac OS X v10.4.9 eller nyere, Mac OS X v10.5, Windows Vista, XP SP2
Effekt: Åbning af et skadeligt PICT-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
Beskrivelse: Der findes et heap-bufferoverløb i behandlingen af PICT-billeder. En hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode ved at lokke en bruger til at åbne et skadeligt billede. Denne opdatering løser problemet ved at udføre yderligere validering af PICT-filer. Tak til Ruben Santamarta fra reversemode.com, der arbejder med TippingPoint og Zero Day Initiative, og som har rapporteret problemet.
QuickTime
CVE-id: CVE-2007-4675
Fås til: Mac OS X v10.3.9, Mac OS X v10.4.9 eller nyere, Mac OS X v10.5, Windows Vista, XP SP2
Effekt: Visning af et skadeligt QTVR-filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
Beskrivelse: Der findes et heap-bufferoverløb i håndteringen af atomer til panoramaeksempler i QTVR-filmfiler (QuickTime Virtual Reality) i QuickTime. En hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode ved at lokke en bruger til at åbne et skadeligt QTVR-arkiv. Denne opdatering løser problemet ved at udføre kontrol af grænser på atomer til panoramaeksempler. Tak til Mario Ballano fra 48bits.com, der arbejder med VeriSign iDefense VCP, og som har rapporteret problemet.
QuickTime
CVE-id: CVE-2007-4677
Fås til: Mac OS X v10.3.9, Mac OS X v10.4.9 eller nyere, Mac OS X v10.5, Windows Vista, XP SP2
Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
Beskrivelse: Der findes et heap-bufferoverløb ved parsing affarvetabelatomet, når der åbnes en filmfil. En hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode ved at lokke en bruger til at åbne et skadeligt filmarkiv. Denne opdatering løser problemet ved at udføre yderligere validering af atomer til farvetabeller. Tak til både Ruben Santamarta fra reversemode.com og Mario Ballano fra 48bits.com, der arbejder med TippingPoint og Zero Day Initiative, som har rapporteret problemet.
QuickTime
CVE-id: CVE-2007-4674
Fås til: Mac OS X v10.3.9, Mac OS X v10.4.9 eller nyere, Mac OS X v10.5, Windows Vista, XP SP2
Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
Beskrivelse: Et problem med heltalsaritmetik ved håndtering af visse filmfilatomer i QuickTime kan medføre stack-bufferoverløb. En hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode ved at lokke en bruger til at åbne et skadeligt filmarkiv. Denne opdatering løser problemet via forbedret håndtering af atomlængdefelter i filmfiler. Tak til Cody Pierce fra TippingPoint DVLabs, som har rapporteret problemet.
Vigtigt: Oplysninger om produkter, der ikke er produceret af Apple, er kun til orientering og er ikke udtryk for Apples anbefaling eller godkendelse. Kontakt producenten for yderligere oplysninger.