Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του QuickTime 7.5
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του QuickTime 7.5, το οποίο μπορεί να ληφθεί και να εγκατασταθεί μέσω των προτιμήσεων Ενημέρωση λογισμικού ή από τις Λήψεις Apple.
H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.»
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE
Για να μάθετε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».
QuickTime 7.5
QuickTime
CVE-ID: CVE-2008-1581
Διατίθεται για: Windows Vista, XP SP2
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου εικόνας PICT ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα.
Περιγραφή: Ένα πρόβλημα στον χειρισμό των δομών PixData από το QuickTime κατά την επεξεργασία μιας εικόνας PICT μπορεί να οδηγήσει σε υπερχείλιση buffer σωρού. Το άνοιγμα μιας κακόβουλης εικόνας PICT μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα που εκτελούν Mac OS X. Ευχαριστούμε τον Dyon Balding της Secunia Research για την αναφορά αυτού του προβλήματος.
QuickTime
CVE-ID: CVE-2008-1582
Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου περιεχομένου πολυμέσων με κωδικοποίηση AAC μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα.
Περιγραφή: Υπάρχει ένα πρόβλημα αλλοίωσης μνήμης στον χειρισμό του περιεχομένου πολυμέσων με κωδικοποίηση AAC από το QuickTime. Το άνοιγμα ενός κακόβουλου αρχείου πολυμέσων ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα εκτελώντας πρόσθετη επικύρωση των αρχείων πολυμέσων. Ευχαριστούμε τον Dave Soldera της NGS Software και τον Jens Alfke για την αναφορά αυτού του προβλήματος.
QuickTime
CVE-ID: CVE-2008-1583
Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου εικόνας PICT ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα.
Περιγραφή: Υπάρχει υπερχείλιση buffer σωρού στον χειρισμό εικόνων PICT από το QuickTime. Το άνοιγμα ενός κακόβουλου αρχείου εικόνας PICT μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστούμε τον Liam O Murchu της Symantec για την αναφορά αυτού του προβλήματος.
QuickTime
CVE-ID: CVE-2008-1584
Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2
Αποτέλεσμα: Η προβολή κακόβουλου περιεχομένου πολυμέσων βίντεο Indeo 4 ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα.
Περιγραφή: Ένα πρόβλημα στον χειρισμό του περιεχομένου κωδικοποιητή βίντεο Indeo από το QuickTime ενδέχεται να έχει ως αποτέλεσμα την υπερχείλιση buffer στοίβας. Η προβολή ενός κακόβουλου αρχείου ταινίας με περιεχόμενο κωδικοποιητή βίντεο Indeo μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με τη μη απόδοση περιεχομένου κωδικοποιητή βίντεο Indeo 4. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.
QuickTime
CVE-ID: CVE-2008-1585
Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2
Αποτέλεσμα: Η αναπαραγωγή κακόβουλου περιεχομένου QuickTime στο QuickTime Player μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα.
Περιγραφή: Υπάρχει ένα πρόβλημα χειρισμού διευθύνσεων URL στον χειρισμό του αρχείου διευθύνσεων URL από το QuickTime. Αυτό μπορεί να επιτρέψει την εκκίνηση αυθαίρετων εφαρμογών και αρχείων όταν ένας χρήστης αναπαράγει κακόβουλο περιεχόμενο QuickTime στο QuickTime Player. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα αποκαλύπτοντας αρχεία στο Finder ή στην Εξερεύνηση των Windows αντί να τα εκκινεί. Ευχαριστούμε τους Vinoo Thomas και Rahul Mohandas της McAfee Avert Labs και τον Petko D. (pdp) Petkov της GNUCITIZEN σε συνεργασία με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.
QuickTime
CVE-ID: CVE-2008-2319
Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου εικόνας PICT ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα.
Περιγραφή: Ένα πρόβλημα επέκτασης υπογραφής στον χειρισμό εικόνων PICT από το QuickTime μπορεί να οδηγήσει σε υπερχείλιση buffer σωρού. Το άνοιγμα ενός κακόβουλου αρχείου εικόνας PICT μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με την αντιμετώπιση της τιμής ως μη υπογεγραμμένης. Ευχαριστούμε τον Sergio 'shadown' Alvarez της n.runs AG για την αναφορά αυτού του προβλήματος.