Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του QuickTime 7.5

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του QuickTime 7.5, το οποίο μπορεί να ληφθεί και να εγκατασταθεί μέσω των προτιμήσεων Ενημέρωση λογισμικού ή από τις Λήψεις Apple.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.»

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE

Για να μάθετε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

QuickTime 7.5

QuickTime

CVE-ID: CVE-2008-1581

Διατίθεται για: Windows Vista, XP SP2

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου εικόνας PICT ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα.

Περιγραφή: Ένα πρόβλημα στον χειρισμό των δομών PixData από το QuickTime κατά την επεξεργασία μιας εικόνας PICT μπορεί να οδηγήσει σε υπερχείλιση buffer σωρού. Το άνοιγμα μιας κακόβουλης εικόνας PICT μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα που εκτελούν Mac OS X. Ευχαριστούμε τον Dyon Balding της Secunia Research για την αναφορά αυτού του προβλήματος.

QuickTime

CVE-ID: CVE-2008-1582

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου περιεχομένου πολυμέσων με κωδικοποίηση AAC μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα.

Περιγραφή: Υπάρχει ένα πρόβλημα αλλοίωσης μνήμης στον χειρισμό του περιεχομένου πολυμέσων με κωδικοποίηση AAC από το QuickTime. Το άνοιγμα ενός κακόβουλου αρχείου πολυμέσων ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα εκτελώντας πρόσθετη επικύρωση των αρχείων πολυμέσων. Ευχαριστούμε τον Dave Soldera της NGS Software και τον Jens Alfke για την αναφορά αυτού του προβλήματος.

QuickTime

CVE-ID: CVE-2008-1583

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου εικόνας PICT ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα.

Περιγραφή: Υπάρχει υπερχείλιση buffer σωρού στον χειρισμό εικόνων PICT από το QuickTime. Το άνοιγμα ενός κακόβουλου αρχείου εικόνας PICT μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστούμε τον Liam O Murchu της Symantec για την αναφορά αυτού του προβλήματος.

QuickTime

CVE-ID: CVE-2008-1584

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2

Αποτέλεσμα: Η προβολή κακόβουλου περιεχομένου πολυμέσων βίντεο Indeo 4 ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα.

Περιγραφή: Ένα πρόβλημα στον χειρισμό του περιεχομένου κωδικοποιητή βίντεο Indeo από το QuickTime ενδέχεται να έχει ως αποτέλεσμα την υπερχείλιση buffer στοίβας. Η προβολή ενός κακόβουλου αρχείου ταινίας με περιεχόμενο κωδικοποιητή βίντεο Indeo μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με τη μη απόδοση περιεχομένου κωδικοποιητή βίντεο Indeo 4. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

QuickTime

CVE-ID: CVE-2008-1585

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2

Αποτέλεσμα: Η αναπαραγωγή κακόβουλου περιεχομένου QuickTime στο QuickTime Player μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα.

Περιγραφή: Υπάρχει ένα πρόβλημα χειρισμού διευθύνσεων URL στον χειρισμό του αρχείου διευθύνσεων URL από το QuickTime. Αυτό μπορεί να επιτρέψει την εκκίνηση αυθαίρετων εφαρμογών και αρχείων όταν ένας χρήστης αναπαράγει κακόβουλο περιεχόμενο QuickTime στο QuickTime Player. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα αποκαλύπτοντας αρχεία στο Finder ή στην Εξερεύνηση των Windows αντί να τα εκκινεί. Ευχαριστούμε τους Vinoo Thomas και Rahul Mohandas της McAfee Avert Labs και τον Petko D. (pdp) Petkov της GNUCITIZEN σε συνεργασία με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

QuickTime

CVE-ID: CVE-2008-2319

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου εικόνας PICT ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα.

Περιγραφή: Ένα πρόβλημα επέκτασης υπογραφής στον χειρισμό εικόνων PICT από το QuickTime μπορεί να οδηγήσει σε υπερχείλιση buffer σωρού. Το άνοιγμα ενός κακόβουλου αρχείου εικόνας PICT μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με την αντιμετώπιση της τιμής ως μη υπογεγραμμένης. Ευχαριστούμε τον Sergio 'shadown' Alvarez της n.runs AG για την αναφορά αυτού του προβλήματος.