Informationen zum Sicherheitsinhalt von QuickTime 7.1.5
In diesem Dokument wird der Sicherheitsinhalt von QuickTime 7.1.5 beschrieben.
n diesem Dokument wird der Sicherheitsinhalt von QuickTime 7.1.5, das unter den Einstellungen Software Update oder von geladen und installiert werden kann.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit."
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates.“
QuickTime-Update 7.1.5
QuickTime
CVE-ID: CVE-2007-0711
Verfügbar für: Windows Vista/XP/2000
Auswirkung: Das Anzeigen einer in böser Absicht erstellten 3GP-Datei kann zu einem Programmabsturz oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von 3GP-Videodateien durch QuickTime kommt es zu einem Ganzzahlüberlauf. Indem er einen Benutzer dazu verleitet, einen schädlichen Film zu öffnen, kann ein Angreifer den Überlauf auslösen, was zum Absturz des Programms oder zur Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem, indem eine zusätzliche Überprüfung von 3GP-Videodateien durchgeführt wird. Dieses Problem betrifft nicht Mac OS X. Wir danken JJ Reyes für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2007-0712
Verfügbar für: Mac OS X 10.3.9 und neuer, Windows Vista/XP/2000
Auswirkung: Das Anzeigen einer in böser Absicht erstellten MIDI-Datei kann zu einem Programmabsturz oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von MIDI-Dateien durch QuickTime kommt es zu einem Heap-Pufferüberlauf. Indem er einen Benutzer dazu verleitet, eine schadhafte MIDI-Datei zu öffnen, kann ein Angreifer den Überlauf auslösen, was zum Absturz des Programms oder zur Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem, indem eine zusätzliche Überprüfung von MIDI-Dateien durchgeführt wird. Wir danken Mike Price von McAfee AVERT Labs für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2007-0713
Verfügbar für: Mac OS X 10.3.9 und neuer, Windows Vista/XP/2000
Auswirkung: Das Anzeigen einer in böser Absicht erstellten QuickTime-Filmdatei kann zu einem Programmabsturz oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von QuickTime-Filmdateien durch QuickTime kommt es zu einem Heap-Pufferüberlauf. Durch die Verleitung eines Benutzers zum Zugriff auf einen in böser Absicht erstellten Film kann ein Angreifer den Überlauf auslösen, was zum Absturz des Programms oder zur Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem, indem eine zusätzliche Überprüfung von QuickTime-Filmen durchgeführt wird. Wir danken Mike Price von McAfee AVERT Labs, Piotr Bania und Artur Ogloza für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2007-0714
Verfügbar für: Mac OS X 10.3.9 und neuer, Windows Vista/XP/2000
Auswirkung: Das Anzeigen einer in böser Absicht erstellten QuickTime-Filmdatei kann zu einem Programmabsturz oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von UDTA-Atomen in Filmdateien durch QuickTime kommt es zu einem Ganzzahlüberlauf. Durch die Verleitung eines Benutzers zum Zugriff auf einen in böser Absicht erstellten Film kann ein Angreifer den Überlauf auslösen, was zum Absturz des Programms oder zur Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem, indem eine zusätzliche Überprüfung von QuickTime-Filmen durchgeführt wird. Wir danken Sowhat von Nevis Labs sowie einem anonymen Forscher in Zusammenarbeit mit TippingPoint und der Zero Day Initiative für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2007-0715
Verfügbar für: Mac OS X 10.3.9 und neuer, Windows Vista/XP/2000
Auswirkung: Das Anzeigen einer in böser Absicht erstellten PICT-Datei kann zu einem Programmabsturz oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von PICT-Dateien durch QuickTime kommt es zu einem Heap-Pufferüberlauf. Indem ein Angreifer einen Benutzer dazu verleitet, eine schädliche PICT-Bilddatei zu öffnen, kann ein Überlauf ausgelöst werden, was zur Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem, indem eine zusätzliche Überprüfung von PICT-Dateien durchgeführt wird. Wir danken Mike Price von McAfee AVERT Labs für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2007-0716
Verfügbar für: Mac OS X 10.3.9 und neuer, Windows Vista/XP/2000
Auswirkung: Das Öffnen einer in böser Absicht erstellten QTIF-Datei kann zum Absturz eines Programms oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von QTIF-Dateien durch QuickTime kommt es zu einem Stapelpufferüberlauf. Indem ein Angreifer einen Benutzer zum Zugriff auf eine in böser Absicht erstellte QTIF-Datei verleitet, kann ein Angreifer den Überlauf auslösen, was zum Absturz des Programms oder zur Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem, indem eine zusätzliche Überprüfung von QTIF-Dateien durchgeführt wird. Wir danken Mike Price von McAfee AVERT Labs für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2007-0717
Verfügbar für: Mac OS X 10.3.9 und neuer, Windows Vista/XP/2000
Auswirkung: Das Öffnen einer in böser Absicht erstellten QTIF-Datei kann zum Absturz eines Programms oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von QTIF-Dateien durch QuickTime kommt es zu einem Ganzzahlüberlauf. Indem ein Angreifer einen Benutzer zum Zugriff auf eine in böser Absicht erstellte QTIF-Datei verleitet, kann ein Angreifer den Überlauf auslösen, was zum Absturz des Programms oder zur Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem, indem eine zusätzliche Überprüfung von QTIF-Dateien durchgeführt wird. Wir danken Mike Price von McAfee AVERT Labs für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2007-0718
Verfügbar für: Mac OS X 10.3.9 und neuer, Windows Vista/XP/2000
Auswirkung: Das Öffnen einer in böser Absicht erstellten QTIF-Datei kann zum Absturz eines Programms oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von QTIF-Dateien durch QuickTime kommt es zu einem Heap-Pufferüberlauf. Indem ein Angreifer einen Benutzer zum Zugriff auf eine in böser Absicht erstellte QTIF-Datei verleitet, kann ein Angreifer den Überlauf auslösen, was zum Absturz des Programms oder zur Ausführung willkürlichen Codes führen kann. Dieses Update behebt das Problem, indem eine zusätzliche Überprüfung von QTIF-Dateien durchgeführt wird. Wir danken Ruben Santamarta, der mit dem iDefense Vulnerability Contributor Program zusammenarbeitet, und JJ Reyes für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2006-4965, CVE-2007-0059
Verfügbar für: Mac OS X 10.3.9 und neuer, Windows Vista/XP/2000
Auswirkung: Das Anzeigen einer in böser Absicht erstellten QuickTime-Filmdatei oder QTL-Datei kann im Kontext der lokalen Domain zur Ausführung willkürlichen JavaScript-Codes führen.
Beschreibung: Im Browser-Plug-In von QuickTime liegt ein Problem mit zonenübergreifenden Skripten vor. Indem ein Angreifer einen Benutzer dazu verleitet, eine schadhafte QuickTime-Filmdatei oder QTL-Datei zu öffnen, kann ein Angreifer das Problem auslösen, was zur Ausführung willkürlichen JavaScript-Codes im Kontext der lokalen Domäne führen kann. Dieses Problem wurde auf der Website „Monat der Apple-Fehler“ (MOAB-03-01-2007) beschrieben. Dieses Update behebt das Problem, indem die folgenden Änderungen an der Verarbeitung von URLs im qtnext-Attribut von QTL-Dateien und von HREFTracks in QuickTime-Filmen vorgenommen werden. Für „http:“ und „https:“: Wenn der Film von einem entfernten Standort geladen wird, sind diese URLs zulässig. Für „file:“: Wenn der Film lokal geladen wird, sind diese URLs zulässig.
QuickTime 7.1.5 für Mac oder Windows kann über die Softwareaktualisierung oder als manueller Download von: http://www.apple.com/quicktime/download/ bezogen werden.