Informationen zum Sicherheitsinhalt von QuickTime 7.5.5
In diesem Dokument wird der Sicherheitsinhalt von QuickTime 7.5.5 beschrieben, das über die Einstellungen für „Softwareupdates“ oder über die Downloads-Seite auf der Apple-Website geladen und installiert werden kann.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter “Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.“
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates.“
QuickTime 7.5.5
QuickTime
CVE-ID: CVE-2008-3615
Verfügbar für: Windows Vista, XP SP2 und SP3
Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung von willkürlichem Code führen.
Beschreibung: Es gab ein Problem mit einem nicht initialisierten Arbeitsspeicherzugriff im Drittanbieter-Codec für QuickTime „Indeo v5“, das nicht im Lieferumfang von QuickTime enthalten ist. Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem, indem Inhalte, die mit einer anderen Version des Indeo-Codes verschlüsselt sind, nicht wiedergegeben werden. Dieses Problem betrifft keine Systeme mit Mac OS X. Danke an Paul Byrne von NGSSoftware für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2008-3635
Verfügbar für: Windows Vista, XP SP2 und SP3
Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Filmdatei kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung von willkürlichem Code führen.
Beschreibung: Im Drittanbieter-Codec für QuickTime „Indeo v3.2“ kommt es zu einem Stapel-Pufferüberlauf. Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem, indem Inhalte, die mit einer anderen Version des Indeo-Codes verschlüsselt sind, nicht wiedergegeben werden. Dieses Problem betrifft keine Systeme mit Mac OS X. Wir danken einem anonymen Forscher in Zusammenarbeit mit der Zero Day Initiative von TippingPoint für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2008-3624
Verfügbar für: Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2 und SP3
Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten QTVR-Filmdatei kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt einen Heap-Pufferüberlauf bei der Verarbeitung von Panorama-Atomen in QTVR (QuickTime Virtual Reality)-Filmdateien durch QuickTime. Das Öffnen einer in böswilliger Absicht erstellten QTVR-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Bounds-Überprüfung von Panorama-Atomen. Wir danken Roee Hay von der IBM Rational Application Security Research Group für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2008-3625
Verfügbar für: Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2 und SP3
Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten QTVR-Filmdatei kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt einen Stapel-Pufferüberlauf bei der Verarbeitung von THKD-Atomen in QTVR (QuickTime Virtual Reality)-Filmdateien durch QuickTime. Das Öffnen einer in böswilliger Absicht erstellten QTVR-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Bounds-Überprüfung von Panorama-Atomen. Dieses Problem wurde von einem anonymen Forscher, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, gemeldet.
QuickTime
CVE-ID: CVE-2008-3614
Verfügbar für: Windows Vista, XP SP2 und SP3
Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten PICT-Bildes kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt einen Integer-Überlauf bei der Verarbeitung von PICT-Bildern in QuickTime. Das Öffnen eines in böswilliger Absicht erstellten PICT-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von PICT-Bilddateien durchführt. Danke an einen anonymen Forscher, der mit dem iDefense VCP zusammenarbeitet, für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2008-3626
Verfügbar für: Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2 und SP3
Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt einen Speicherfehler bei der Verarbeitung von STSZ-Atomen in Filmdateien durch QuickTime. Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Bounds-Überprüfung von STSZ-Atomen. Dieses Problem wurde von einem anonymen Forscher, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, gemeldet.
QuickTime
CVE-ID: CVE-2008-3627
Verfügbar für: Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2 und SP3
Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt mehrere Speicherfehler bei der Verarbeitung von H.264-kodierten Filmdateien durch QuickTime. Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine zusätzliche Validierung von H.264-kodierten Filmdateien. Wir danken einem anonymen Forscher und Subreption LLC in Zusammenarbeit mit der Zero Day Initiative von TippingPoint für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2008-3628
Verfügbar für: Windows Vista, XP SP2 und SP3
Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten PICT-Bildes kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt ein Problem mit einem ungültigen Zeiger bei der Verarbeitung von PICT-Bildern in QuickTime. Das Öffnen eines in böswilliger Absicht erstellten PICT-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch korrektes Speichern und Wiederherstellen einer globalen Variablen. Dieses Problem betrifft keine Systeme mit Mac OS X. Danke an David Wharton für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2008-3629
Verfügbar für: Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2 und SP3
Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten PICT-Bildes kann zu einem unerwarteten Beenden der Anwendung führen.
Beschreibung: Bei der Verarbeitung von PICT-Bildern in QuickTime gibt es ein Leseproblem außerhalb der zulässigen Grenzen. Das Öffnen eines in böser Absicht erstellten PICT-Bilds kann zu einem unerwarteten Beenden der Anwendung führen. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von PICT-Bilddateien durchführt. Sergio „shadown“ Alvarez von n.runs AG hat dieses Problem gemeldet.
Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden lediglich zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Bitte wende dich an den Anbieter, um weitere Informationen zu erhalten.