Informationen zum Sicherheitsinhalt von QuickTime 7.6
In diesem Dokument wird der Sicherheitsinhalt von QuickTime 7.6 beschrieben, der über die Einstellungen für Softwareupdates oder über Apple-Downloads heruntergeladen und installiert werden kann.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.
QuickTime 7.6
QuickTime
CVE-ID: CVE-2009-0001
Verfügbar für: Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2 und SP3
Auswirkung: Der Zugriff auf eine in böswilliger Absicht erstellten RTSP-URL kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt einen Heap-Pufferüberlauf bei der Behandlung von RTSP-URLs durch QuickTime. Der Zugriff auf eine in böswilliger Absicht erstellten RTSP-URL kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem, indem eine zusätzliche Validierung von RTSP-URLs durchgeführt wird. Wir danken Attila Suszter für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2009-0002
Verfügbar für: Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2 und SP3
Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten QTVR-Filmdatei kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt einen Heap-Pufferüberlauf bei der Verarbeitung von THKD-Atomen in QTVR (QuickTime Virtual Reality)-Filmdateien durch QuickTime. Das Öffnen einer in böswilliger Absicht erstellten QTVR-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Dieses Problem wurde von einem anonymen Forscher, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, gemeldet.
QuickTime
CVE-ID: CVE-2009-0003
Verfügbar für: Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2
Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten AVI-Filmdatei kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Bei der Verarbeitung einer AVI-Filmdatei kann ein Heap-Pufferüberlauf auftreten. Das Öffnen einer in böswilliger Absicht erstellten AVI-Filmdatei kann zum unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Dieses Problem wurde von einem anonymen Forscher, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, gemeldet.
QuickTime
CVE-ID: CVE-2009-0004
Verfügbar für: Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2 und SP3
Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt einen Pufferüberlauf bei der Verarbeitung von MPEG-2-Videodateien mit MP3-Audioinhalten. Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Wir danken Chad Dougherty vom CERT Coordination Center für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2009-0005
Verfügbar für: Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2 und SP3
Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt einen Speicherfehler bei der Verarbeitung von H.263-kodierten Filmdateien durch QuickTime. Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine zusätzliche Validierung von H.263-kodierten Filmdateien. Wir danken Dave Soldera von NGS Software für die Meldung dieses Problems.
QuickTime
CVE-ID: CVE-2009-0006
Verfügbar für: Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2 und SP3
Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt ein Signierbarkeits-Problem in der Verarbeitung von Cinepak-kodierten Filmdateien in QuickTime, das zu einem Heap-Pufferüberlauf führen kann. Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine zusätzliche Validierung von Filmdateien. Dieses Problem wurde von einem anonymen Forscher, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, gemeldet.
QuickTime
CVE-ID: CVE-2009-0007
Verfügbar für: Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 oder neuer, Windows Vista, XP SP2 und SP3
Auswirkung: Das Betrachten einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt einen Heap-Pufferüberlauf in QuickTimes Umgang mit jpeg-Atomen in QuickTime-Filmdateien. Das Öffnen einer in böswilliger Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Dieses Problem wurde von einem anonymen Forscher, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, gemeldet.
Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden lediglich zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Weitere Informationen sind beim Anbieter erhältlich.