Σχετικά με το περιεχόμενο ασφάλειας του QuickTime 7.7
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του QuickTime 7.7.
H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».
QuickTime 7.7
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου εικόνας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε μια υπερχείλιση buffer κατά τον χειρισμό των αρχείων εικόνας από το QuickTime. Η προβολή ενός κακόβουλου αρχείου εικόνας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίστηκε στο Mac OS X v10.6.8. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα OS X Lion.
Αναγνωριστικό CVE
CVE-2011-0245: Subreption LLC σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η προβολή μιας κακόβουλης εικόνας JPEG2000 με το QuickTime ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης της μνήμης κατά τον χειρισμό εικόνων JPEG2000 από το QuickTime. Η προβολή μιας κακόβουλης εικόνας JPEG2000 με το QuickTime ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίστηκε στο Mac OS X v10.6.7. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα OS X Lion.
Αναγνωριστικό CVE
CVE-2011-0186 : Will Dormann της CERT/CC
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να αποκαλύψει δεδομένα βίντεο από έναν άλλο ιστότοπο
Περιγραφή: Υπήρχε ένα ζήτημα μεταξύ προελεύσεων στον τρόπο με τον οποίο η προσθήκη του QuickTime χειριζόταν τις διατοποθεσιακές ανακατευθύνσεις. Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποκάλυψη δεδομένων βίντεο από έναν άλλο ιστότοπο. Αυτό το πρόβλημα αντιμετωπίστηκε εμποδίζοντας το QuickTime να ακολουθεί τις ανακατευθύνσεις μεταξύ ιστότοπων. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίστηκε στο Mac OS X v10.6.7. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα OS X Lion.
Αναγνωριστικό CVE
CVE-2011-0187: Nirankush Panchbhai και Microsoft Vulnerability Research (MSVR)
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η προβολή κακόβουλου αρχείου WAV ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε μια υπερχείλιση ακεραίων κατά τον χειρισμό των αρχείων RIFF WAV από το QuickTime. Η αναπαραγωγή κακόβουλου αρχείου WAV ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίστηκε στο Mac OS X v10.6.8. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα OS X Lion.
Αναγνωριστικό CVE
CVE-2011-0209 : Luigi Auriemma σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης κατά τον χειρισμό δειγμάτων πινάκων σε αρχεία ταινιών QuickTime από το QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίστηκε στο Mac OS X v10.6.8. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα OS X Lion.
Αναγνωριστικό CVE
CVE-2011-0210 : Honggang Ren του Fortinet's FortiGuard Labs
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε μια υπερχείλιση ακεραίων κατά τον χειρισμό καναλιών ήχου σε αρχεία ταινίας από το QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίστηκε στο Mac OS X v10.6.8. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα OS X Lion.
Αναγνωριστικό CVE
CVE-2011-0211 : Luigi Auriemma σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου JPEG ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε μια υπερχείλιση buffer κατά τον χειρισμό των αρχείων JPEG από το QuickTime. Η προβολή ενός κακόβουλου αρχείου JPEG ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίστηκε στο Mac OS X v10.6.8. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα OS X Lion.
Αναγνωριστικό CVE
CVE-2011-0213 : Luigi Auriemma σε συνεργασία με την iDefense VCP
QuickTime
Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις
Αποτέλεσμα: Η προβολή κακόβουλης εικόνας GIF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού κατά στον χειρισμό εικόνων GIF από το QuickTime. Η προβολή κακόβουλης εικόνας GIF ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X.
Αναγνωριστικό CVE
CVE-2011-0246 : ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Beyond Security's SecuriTeam Secure Disclosure
QuickTime
Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας H.264 ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχαν πολλές υπερχειλίσεις buffer στοίβας κατά τον χειρισμό αρχείων ταινιών με κωδικοποίηση H.264. Η προβολή ενός κακόβουλου αρχείου ταινίας H.264 ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτά τα προβλήματα δεν επηρεάζουν τα συστήματα Mac OS X.
Αναγνωριστικό CVE
CVE-2011-0247 : Roi Mallo και Sherab Giovannini σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint
QuickTime
Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις
Αποτέλεσμα: Η μετάβαση σε κακόβουλους ιστότοπους με τον Internet Explorer ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε μια υπερχείλιση buffer στοίβας κατά τον χειρισμό των αρχείων QTL από τον έλεγχο ActiveX του QuickTime. Η μετάβαση σε κακόβουλους ιστότοπους με το Internet Explorer ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X.
Αναγνωριστικό CVE
CVE-2011-0248: Chkr_d591 σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε μια υπερχείλιση buffer σωρού κατά τον χειρισμό ατόμων STSC στα αρχεία ταινίας από το QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα OS X Lion.
Αναγνωριστικό CVE
CVE-2011-0249: Matt 'j00ru' Jurczyk σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε μια υπερχείλιση buffer σωρού κατά τον χειρισμό ατόμων STSS στα αρχεία ταινίας από το QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα OS X Lion.
Αναγνωριστικό CVE
CVE-2011-0250: Matt 'j00ru' Jurczyk σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε μια υπερχείλιση buffer σωρού κατά τον χειρισμό ατόμων STSZ στα αρχεία ταινίας από το QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα OS X Lion.
Αναγνωριστικό CVE
CVE-2011-0251: Matt 'j00ru' Jurczyk σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε μια υπερχείλιση buffer σωρού κατά τον χειρισμό ατόμων STTS στα αρχεία ταινίας από το QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα OS X Lion.
Αναγνωριστικό CVE
CVE-2011-0252: Matt 'j00ru' Jurczyk σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου PICT ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε μια υπερχείλιση buffer στοίβας κατά τον χειρισμό αρχείων PICT. Η προβολή ενός κακόβουλου αρχείου PICT ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.7.
Αναγνωριστικό CVE
CVE-2011-0257: Matt 'j00ru' Jurczyk σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint
QuickTime
Διαθέσιμο για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows 7, Vista, XP SP2 ή νεότερη έκδοση
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας με το QuickTime ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε μια υπερχείλιση ακεραίων κατά τον χειρισμό ατόμων εκτέλεσης κομματιών στα αρχεία ταινίας από το QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίστηκε στο Mac OS X v10.6.8. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.7.
Αναγνωριστικό CVE
CVE-2011-0256: Ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint
QuickTime
Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης κατά τον χειρισμό περιγραφών εικόνων σε αρχεία ταινιών QuickTime από το QuickTime. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X.
Αναγνωριστικό CVE
CVE-2011-0258: Damian Put σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint
Σημαντικό: Η αναφορά ιστότοπων και προϊόντων τρίτων προορίζεται μόνο για ενημερωτικούς σκοπούς και δεν συνιστά ούτε έγκριση ούτε σύσταση. Η Apple δεν φέρει καμία ευθύνη όσον αφορά την επιλογή, την απόδοση ή τη χρήση πληροφοριών ή προϊόντων που βρίσκονται σε ιστότοπους τρίτων. Η Apple το παρέχει μόνο για διευκόλυνση των χρηστών μας. Η Apple δεν έχει ελέγξει τις πληροφορίες που βρίσκονται σε αυτούς τους ιστότοπους και δεν προβαίνει σε καμία δήλωση σχετικά με την ακρίβεια ή την αξιοπιστία τους. Υπάρχουν κίνδυνοι που συνδέονται με τη χρήση οποιωνδήποτε πληροφοριών ή προϊόντων που βρίσκονται στο διαδίκτυο και η Apple δεν αναλαμβάνει καμία ευθύνη ως προς αυτό. Πρέπει να κατανοήσετε ότι ένας ιστότοπος τρίτου μέρους είναι ανεξάρτητος από την Apple και ότι η Apple δεν έχει κανέναν έλεγχο επί του περιεχομένου σε αυτόν τον ιστότοπο. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.