Σχετικά με το περιεχόμενο ασφάλειας του QuickTime 7.6
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του QuickTime 7.6, το οποίο μπορεί να ληφθεί και να εγκατασταθεί μέσω των προτιμήσεων Ενημέρωσης λογισμικού ή από τις Λήψεις Apple.
H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».
QuickTime 7.6
QuickTime
CVE-ID: CVE-2009-0001
Διατίθεται για: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2 και SP3
Αποτέλεσμα: Η πρόσβαση σε κακόβουλη RTSP URL ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει μια υπερχείλιση buffer στοίβας κατά τον χειρισμό RTSP URL εντός του QuickTime. Η πρόσβαση σε κακόβουλη RTSP URL ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με εκτέλεση πρόσθετης επικύρωσης των διευθύνσεων URL RTSP. Ευχαριστούμε τον Attila Suszter για την αναφορά αυτού του προβλήματος.
QuickTime
CVE-ID: CVE-2009-0002
Διατίθεται για: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2 και SP3
Αποτέλεσμα: Η προβολή κακόβουλου αρχείου ταινίας QTVR ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει μια υπερχείλιση buffer στοίβας κατά τον χειρισμό ατόμων THKD σε αρχεία ταινίας QTVR (QuickTime Virtual Reality) εντός του QuickTime. Η προβολή ενός κακόβουλου αρχείου QTVR ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.
QuickTime
CVE-ID: CVE-2009-0003
Διατίθεται για: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας AVI ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ενδέχεται να προκύψει υπερχείλιση buffer στοίβας κατά την επεξεργασία αρχείων ταινίας AVI. Το άνοιγμα ενός κακόβουλου αρχείου ταινίας AVI ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.
QuickTime
CVE-ID: CVE-2009-0004
Διατίθεται για: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2 και SP3
Αποτέλεσμα: Η προβολή κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει μια υπερχείλιση buffer στοίβας κατά τον χειρισμό αρχείων βίντεο MPEG με περιεχόμενο ήχου MP3. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστούμε τον Chad Dougherty του CERT Coordination Center για την αναφορά αυτού του προβλήματος.
QuickTime
CVE-ID: CVE-2009-0005
Διατίθεται για: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2 και SP3
Αποτέλεσμα: Η προβολή κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει καταστροφή μνήμης κατά τον χειρισμό κωδικοποιημένων αρχείων ταινίας H.263 εντός του QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα εκτελώντας πρόσθετη επικύρωση των κωδικοποιημένων αρχείων ταινιών H.263. Ευχαριστούμε τον Dave Soldera της NGS Software για την αναφορά αυτού του προβλήματος.
QuickTime
CVE-ID: CVE-2009-0006
Διατίθεται για: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2 και SP3
Αποτέλεσμα: Η προβολή κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει ζήτημα signedness κατά τον χειρισμό κωδικοποιημένων αρχείων ταινίας Cinepak εντός του QuickTime, που ενδέχεται να έχει ως αποτέλεσμα υπερχείλιση buffer στοίβας. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα εκτελώντας πρόσθετη επικύρωση των αρχείων ταινιών. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.
QuickTime
CVE-ID: CVE-2009-0007
Διατίθεται για: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2 και SP3
Αποτέλεσμα: Η προβολή κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει μια υπερχείλιση buffer στοίβας κατά τον χειρισμό ατόμων jpeg σε αρχεία ταινίας QuickTime εντός του QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστούμε έναν ανώνυμο ερευνητή, σε συνεργασία με την πρωτοβουλία TippingPoint Zero Day Initiative, για την αναφορά αυτού του προβλήματος.
Σημαντικό: Οι πληροφορίες σχετικά με προϊόντα που δεν κατασκευάζονται από την Apple παρέχονται μόνο για ενημερωτικούς σκοπούς και δεν αποτελούν σύσταση ή έγκριση της Apple. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.