Informationen zum Sicherheitsinhalt von QuickTime 7.6.2
In diesem Dokument wird der Sicherheitsinhalt von QuickTime 7.6.2 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.
QuickTime 7.6.2
QuickTime
CVE-ID: CVE-2009-0188
Verfügbar für: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista und XP SP3
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Es gibt ein Speicherbeschädigungsproblem bei der Verarbeitung von Sorenson 3-Videodateien durch QuickTime. Dies kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine zusätzliche Validierung von Sorenson 3-Videodateien. Wir danken Carsten Eiram von Secunia Research für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2009-0951
Verfügbar für: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista und XP SP3
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten FLC-Komprimierungsdatei kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von FLC-Komprimierungsdateien gibt es einen Heap-Pufferüberlauf. Das Öffnen einer in böswilliger Absicht erstellten FLC-Komprimierungsdatei kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Dieses Problem wurde von einem anonymen Forscher, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, gemeldet.
QuickTime
CVE-ID: CVE-2009-0952
Verfügbar für: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista und XP SP3
Auswirkung: Das Anzeigen eines in böser Absicht erstellten komprimierten PSD-Bildes kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung eines komprimierten PSD-Bildes kann ein Pufferüberlauf auftreten. Das Öffnen einer in böser Absicht erstellten komprimierten PSD-Datei kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Wir danken Damian Put in Zusammenarbeit mit der Zero Day Initiative von TippingPoint für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2009-0010
Verfügbar für: Windows Vista und XP SP3
Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten PICT-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Integer-Unterlauf in der Handhabung von PICT-Bildern durch QuickTime kann zu einem Heap-Pufferüberlauf führen. Das Öffnen einer in böswilliger Absicht erstellten PICT-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von PICT-Bilddateien durchführt. Wir danken Sebastian Apelt, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, und Chris Ries von Carnegie Mellon University Computing Services für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2009-0953
Verfügbar für: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista und XP SP3
Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten PICT-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.
Beschreibung: Bei der Handhabung von PICT-Bildern durch QuickTime gibt es einen Heap-Pufferüberlauf. Das Öffnen einer in böswilliger Absicht erstellten PICT-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von PICT-Bilddateien durchführt. Wir danken Sebastian Apelt, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2009-0954
Verfügbar für: Windows Vista und XP SP3
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Handhabung von Clipping Region (CRGN)-Atomtypen in einer Filmdatei durch QuickTime gibt es einen Heap-Pufferüberlauf. Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Mac OS X-Systeme sind nicht von diesem Problem betroffen. Dieses Problem wurde von einem anonymen Forscher, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, gemeldet.
QuickTime
CVE-ID: CVE-2009-0185
Verfügbar für: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista und XP SP3
Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von MS ADPCM-codierten Audiodaten gibt es einen Heap-Pufferüberlauf. Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Dank an Alin Rad Pop von Secunia Research für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2009-0955
Verfügbar für: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista und XP SP3
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten Videodatei kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Bei der Handhabung von Bildbeschreibungsatomen durch QuickTime gibt es ein Problem mit der Zeichenerweiterung. Das Öffnen einer in böswilliger Absicht erstellten Apple-Videodatei kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Überprüfung von Beschreibungsatomen. Wir danken Roee Hay von der IBM Rational Application Security Research Group für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2009-0956
Verfügbar für: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista und XP SP3
Auswirkung: Das Öffnen einer Filmdatei mit einem in böswilliger Absicht erstellten Benutzerdatenatom kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Handhabung von Filmdateien durch QuickTime treten Probleme aufgrund eines nicht initialisierten Speicherzugriffs auf. Das Öffnen einer Filmdatei, deren Benutzerdatenatom 0 Byte groß ist, kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine zusätzliche Überprüfung von Filmdateien und durch das Anzeigen einer Warnung für den Benutzer. Wir danken Lurene Grenier von Sourcefire, Inc. (VRT) für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2009-0957
Verfügbar für: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista und XP SP3
Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten JP2-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Handhabung von JP2-Bildern durch QuickTime gibt es einen Heap-Pufferüberlauf. Das Anzeigen eines in böswilliger Absicht erstellten JP2-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Dieses Problem wurde von Charlie Miller von Independent Security Evaluators und Damian Put, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, gemeldet.
Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden lediglich zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Weitere Informationen sind beim Anbieter erhältlich.