Informationen zum Sicherheitsinhalt von QuickTime 7.3

Dieses Dokument beschreibt den Sicherheitsinhalt von QuickTime 7.3, der über die Softwareupdate-Einstellungen oder über Apple-Downloads Apple Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum PGP-Schlüssel für die Apple-Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.

QuickTime 7.3

QuickTime

CVE-ID: CVE-2007-2395

Verfügbar für: Mac OS X 10.3.9, Mac OS X 10.4.9 oder höher, Mac OS X 10.5, Windows Vista und XP SP2

Auswirkung: Das Öffnen einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der Verarbeitung von Bildbeschreibungsatomen durch QuickTime besteht ein Speicherfehler. Indem ein Benutzer dazu verleitet wird, eine böswillig gestaltete Filmdatei zu öffnen, kann ein Angreifer eine unerwartete Beendigung der Anwendung oder die Ausführung willkürlichen Codes verursachen. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von QuickTime-Bildbeschreibungen durchführt. Danke an Dylan Ashe von Adobe Systems Incorporated für das Melden dieses Problems.

QuickTime

CVE-ID: CVE-2007-3750

Verfügbar für: Mac OS X 10.3.9, Mac OS X 10.4.9 oder höher, Mac OS X 10.5, Windows Vista und XP SP2

Auswirkung: Das Öffnen einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der Handhabung von Sample Table Sample Descriptor (STSD)-Atomen mit QuickTime Player kommt es zu einem Heap-Pufferüberlauf. Indem ein Benutzer dazu verleitet wird, eine böswillig gestaltete Filmdatei zu öffnen, kann ein Angreifer eine unerwartete Beendigung der Anwendung oder die Ausführung willkürlichen Codes verursachen. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von STSD-Atomen durchführt. Danke an Tobias Klein von www.trapkit.de für das Melden dieses Problems.

QuickTime

CVE-ID: CVE-2007-3751

Verfügbar für: Mac OS X 10.3.9, Mac OS X 10.4.9 oder höher, Mac OS X 10.5, Windows Vista und XP SP2

Auswirkung: Nicht vertrauenswürdige Java-Applets können erhöhte Benutzerrechte erlangen.

Beschreibung: Es gibt mehrere Schwachstellen in QuickTime für Java, die es nicht vertrauenswürdigen Java-Applets ermöglichen können, erhöhte Benutzerrechte zu erlangen. Indem ein Benutzer dazu verleitet wird, eine Webseite zu besuchen, die ein böswillig gestaltetes Java-Applet enthält, kann ein Angreifer die Offenlegung vertraulicher Informationen und die Ausführung willkürlichen Codes mit erhöhten Benutzerrechten verursachen. Dieses Update behebt die Probleme, indem es QuickTime für Java für nicht vertrauenswürdige Java-Applets nicht mehr zugänglich macht. Danke an Adam Gowdiak für das Melden dieses Problems.

QuickTime

CVE-ID: CVE-2007-4672

Verfügbar für: Mac OS X 10.3.9, Mac OS X 10.4.9 oder höher, Mac OS X 10.5, Windows Vista und XP SP2

Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten PICT-Bilds kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der PICT-Bildverarbeitung kommt es zu einem Stack-basierten Pufferüberlauf. Indem ein Benutzer dazu verleitet wird, eine böswillig gestaltete Bilddatei zu öffnen, kann ein Angreifer eine unerwartete Beendigung der Anwendung oder die Ausführung willkürlichen Codes verursachen. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von PICT-Dateien durchführt. Danke an Ruben Santamarta von reversemode.com in Zusammenarbeit mit TippingPoint und der Zero Day Initiative für das Melden dieses Problems.

QuickTime

CVE-ID: CVE-2007-4676

Verfügbar für: Mac OS X 10.3.9, Mac OS X 10.4.9 oder höher, Mac OS X 10.5, Windows Vista und XP SP2

Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten PICT-Bilds kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der PICT-Bildverarbeitung kommt es zu einem Heap-Pufferüberlauf. Indem ein Benutzer dazu verleitet wird, eine böswillig gestaltete Bilddatei zu öffnen, kann ein Angreifer eine unerwartete Beendigung der Anwendung oder die Ausführung willkürlichen Codes verursachen. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von PICT-Dateien durchführt. Danke an Ruben Santamarta von reversemode.com in Zusammenarbeit mit TippingPoint und der Zero Day Initiative für das Melden dieses Problems.

QuickTime

CVE-ID: CVE-2007-4675

Verfügbar für: Mac OS X 10.3.9, Mac OS X 10.4.9 oder höher, Mac OS X 10.5, Windows Vista und XP SP2

Auswirkung: Das Öffnen einer in böser Absicht erstellten QTVR-Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der Handhabung von Panorama-Beispielatomen in QTVR-Filmdateien (QuickTime Virtual Reality) durch QuickTime kommt es zu einem Heap-Pufferüberlauf. Indem ein Benutzer dazu verleitet wird, eine böswillig gestaltete QTVR-Datei anzuzeigen, kann ein Angreifer ein unerwartetes Ende der Anwendung oder die Ausführung willkürlichen Codes verursachen. Dieses Update behebt das Problem, indem es eine Abgrenzungsüberprüfung an Panorama-Beispielatomen durchführt. Danke an Mario Ballano von 48bits.com in Zusammenarbeit mit VeriSign iDefense VCP für das Melden dieses Problems.

QuickTime

CVE-ID: CVE-2007-4677

Verfügbar für: Mac OS X 10.3.9, Mac OS X 10.4.9 oder höher, Mac OS X 10.5, Windows Vista und XP SP2

Auswirkung: Das Öffnen einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Beim Öffnen einer Filmdatei kommt es zu einem Heap-Pufferüberlauf bei der Analyse des Farbtabellenatoms. Indem ein Benutzer dazu verleitet wird, eine böswillig gestaltete Filmdatei zu öffnen, kann ein Angreifer eine unerwartete Beendigung der Anwendung oder die Ausführung willkürlichen Codes verursachen. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von Farbtabellenatomen durchführt. Danke an Ruben Santamarta von reversemode.com und Mario Ballano von 48bits.com in Zusammenarbeit mit TippingPoint und der Zero Day Initiative für das Melden dieses Problems.

QuickTime

CVE-ID: CVE-2007-4674

Verfügbar für: Mac OS X 10.3.9, Mac OS X 10.4.9 oder höher, Mac OS X 10.5, Windows Vista und XP SP2

Auswirkung: Das Öffnen einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Ganzzahlarithmetik-Problem bei der Verarbeitung bestimmter Filmdateiatome durch QuickTime kann zu einem Stack-basierten Pufferüberlauf führen. Indem ein Benutzer dazu verleitet wird, eine böswillig gestaltete Filmdatei zu öffnen, kann ein Angreifer eine unerwartete Beendigung der Anwendung oder die Ausführung willkürlichen Codes verursachen. Dieses Update behebt das Problem durch eine verbesserte Handhabung von Atomlängenfeldern in Filmdateien. Danke an Cody Pierce von TippingPoint DVLabs für das Melden dieses Problems.