Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του QuickTime 7.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του QuickTime 7.3, το οποίο μπορεί να ληφθεί και να εγκατασταθεί μέσω των προτιμήσεων της Ενημέρωσης λογισμικού ή από τη σελίδα Λήψεις της Apple.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.

QuickTime 7.3

QuickTime

CVE-ID: CVE-2007-2395

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 ή νεότερη έκδοση, Mac OS X v10.5, Windows Vista, XP SP2

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

Περιγραφή: Υπάρχει ένα πρόβλημα καταστροφής μνήμης κατά τον χειρισμό των ατόμων περιγραφής εικόνας από το QuickTime. Δελεάζοντας έναν χρήστη να ανοίξει ένα κακόβουλο αρχείο ταινίας, ένας εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω εκτέλεσης πρόσθετης επικύρωσης των περιγραφών εικόνων του QuickTime. Ευχαριστούμε τον Dylan Ashe της Adobe Systems Incorporated για την αναφορά αυτού του προβλήματος.

QuickTime

CVE-ID: CVE-2007-3750

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 ή νεότερη έκδοση, Mac OS X v10.5, Windows Vista, XP SP2

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

Περιγραφή: Υπάρχει μια υπερχείλιση buffer σωρού στον χειρισμό ατόμων Sample Table Sample Descriptor (STSD) από το QuickTime Player. Δελεάζοντας έναν χρήστη να ανοίξει ένα κακόβουλο αρχείο ταινίας, ένας εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω εκτέλεσης πρόσθετης επικύρωσης των ατόμων STSD. Ευχαριστούμε τον Tobias Klein του www.trapkit.de για την αναφορά αυτού του προβλήματος.

QuickTime

CVE-ID: CVE-2007-3751

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 ή νεότερη έκδοση, Mac OS X v10.5, Windows Vista, XP SP2

Αποτέλεσμα: Οι μη αξιόπιστες μικροεφαρμογές Java ενδέχεται να αποκτήσουν αυξημένα προνόμια.

Περιγραφή: Υπάρχουν πολλές ευπάθειες στο QuickTime για Java, οι οποίες ενδέχεται να επιτρέπουν σε μη αξιόπιστες μικροεφαρμογές Java να αποκτούν αυξημένα προνόμια. Δελεάζοντας έναν χρήστη να επισκεφτεί μια ιστοσελίδα που περιέχει μια κακόβουλη μικροεφαρμογή Java, ένας εισβολέας μπορεί να προκαλέσει την αποκάλυψη ευαίσθητων πληροφοριών και την εκτέλεση αυθαίρετου κώδικα με αυξημένα προνόμια. Αυτή η ενημέρωση αντιμετωπίζει τα προβλήματα μέσω αποκλεισμού της πρόσβασης μη αξιόπιστων μικροεφαρμογών Java στο QuickTime για Java. Ευχαριστούμε τον Adam Gowdiak για την αναφορά αυτού του προβλήματος.

QuickTime

CVE-ID: CVE-2007-4672

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 ή νεότερη έκδοση, Mac OS X v10.5, Windows Vista, XP SP2

Αποτέλεσμα: Το άνοιγμα μιας κακόβουλη εικόνας PICT μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

Περιγραφή: Υπάρχει υπερχείλιση buffer στοίβας στην επεξεργασία εικόνων PICT. Δελεάζοντας έναν χρήστη να ανοίξει μια κακόβουλη εικόνα, ένας εισβολέας μπορεί να προκαλέσει τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω εκτέλεσης πρόσθετης επικύρωσης των αρχείων PICT. Ευχαριστούμε τον Ruben Santamarta της reversemode.com, σε συνεργασία με την TippingPoint και την πρωτοβουλία Zero Day Initiative, για την αναφορά αυτού του προβλήματος.

QuickTime

CVE-ID: CVE-2007-4676

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 ή νεότερη έκδοση, Mac OS X v10.5, Windows Vista, XP SP2

Αποτέλεσμα: Το άνοιγμα μιας κακόβουλη εικόνας PICT μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

Περιγραφή: Υπάρχει υπερχείλιση buffer σωρού στην επεξεργασία εικόνων PICT. Δελεάζοντας έναν χρήστη να ανοίξει μια κακόβουλη εικόνα, ένας εισβολέας μπορεί να προκαλέσει τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω εκτέλεσης πρόσθετης επικύρωσης των αρχείων PICT. Ευχαριστούμε τον Ruben Santamarta της reversemode.com, σε συνεργασία με την TippingPoint και την πρωτοβουλία Zero Day Initiative, για την αναφορά αυτού του προβλήματος.

QuickTime

CVE-ID: CVE-2007-4675

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 ή νεότερη έκδοση, Mac OS X v10.5, Windows Vista, XP SP2

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας QTVR ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα.

Περιγραφή: Υπάρχει μια υπερχείλιση buffer σωρού στον χειρισμό των ατόμων δείγματος πανοράματος σε αρχεία ταινίας QTVR (QuickTime Virtual Reality) από το QuickTime. Δελεάζοντας έναν χρήστη να προβάλλει ένα κακόβουλο αρχείο QTVR, ένας εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω εκτέλεσης ελέγχου ορίων σε άτομα δείγματος πανοράματος. Ευχαριστούμε τον Mario Ballano της 48bits.com, σε συνεργασία με την VeriSign iDefense VCP, για την αναφορά αυτού του προβλήματος.

QuickTime

CVE-ID: CVE-2007-4677

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 ή νεότερη έκδοση, Mac OS X v10.5, Windows Vista, XP SP2

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

Περιγραφή: Υπάρχει υπερχείλιση buffer σωρού στην ανάλυση του ατόμου πίνακα χρωμάτων κατά το άνοιγμα ενός αρχείου ταινίας. Δελεάζοντας έναν χρήστη να ανοίξει ένα κακόβουλο αρχείο ταινίας, ένας εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω εκτέλεσης πρόσθετης επικύρωσης των ατόμων πίνακα χρωμάτων. Ευχαριστούμε τον Ruben Santamarta της reversemode.com και τον Mario Ballano της 48bits.com, σε συνεργασία με την TippingPoint και την πρωτοβουλία Zero Day Initiative, για την αναφορά αυτού του προβλήματος.

QuickTime

CVE-ID: CVE-2007-4674

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 ή νεότερη έκδοση, Mac OS X v10.5, Windows Vista, XP SP2

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

Περιγραφή: Ένα πρόβλημα αριθμητικής ακεραίου στον χειρισμό ορισμένων ατόμων αρχείων ταινίας από το QuickTime μπορεί να έχει ως αποτέλεσμα την υπερχείλιση buffer στοίβας. Δελεάζοντας έναν χρήστη να ανοίξει ένα κακόβουλο αρχείο ταινίας, ένας εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου χειρισμού των πεδίων μήκους ατόμου σε αρχεία ταινίας. Ευχαριστούμε τον Cody Pierce της TippingPoint DVLabs για την αναφορά αυτού του προβλήματος.