Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του QuickTime 7.3.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του QuickTime 7.3.1, το οποίο μπορεί να ληφθεί και να εγκατασταθεί μέσω των προτιμήσεων Ενημέρωση λογισμικού ή από τις Λήψεις Apple.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE

Για να μάθετε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

QuickTime 7.3.1

QuickTime

CVE-ID: CVE-2007-6166

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 ή νεότερη έκδοση, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2

Αποτέλεσμα: Η προβολή μιας κακόβουλης ταινίας RTSP ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα.

Περιγραφή: Υπάρχει υπερχείλιση buffer στον χειρισμό των κεφαλίδων Real Time Streaming Protocol (RTSP) από το QuickTime. Δελεάζοντας έναν χρήστη να δει μια κακόβουλη ταινία RTSP, ένας εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα διασφαλίζοντας ότι το buffer προορισμού έχει μέγεθος ώστε να περιέχει τα δεδομένα.

QuickTime

CVE-ID: CVE-2007-4706

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 ή νεότερη έκδοση, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου QTL ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα.

Περιγραφή: Υπάρχει υπερχείλιση buffer σωρού στον χειρισμό αρχείων QTL από το QuickTime. Δελεάζοντας έναν χρήστη να προβάλει ένα κακόβουλο αρχείο QTL, ένας εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό εφαρμογής ή αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων.

QuickTime

CVE-ID: CVE-2007-4707

Διατίθεται για: Mac OS X v10.3.9, Mac OS X v10.4.9 ή νεότερη έκδοση, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2

Αποτέλεσμα: Πολλαπλές ευπάθειες στο πρόγραμμα χειρισμού πολυμέσων Flash του QuickTime

Περιγραφή: Υπάρχουν πολλές ευπάθειες στο πρόγραμμα χειρισμού πολυμέσων Flash του QuickTime, οι πιο σοβαρές από τις οποίες μπορεί να οδηγήσουν σε αυθαίρετη εκτέλεση κώδικα. Με αυτήν την ενημέρωση, το πρόγραμμα χειρισμού πολυμέσων Flash στο QuickTime είναι απενεργοποιημένο, εκτός από έναν περιορισμένο αριθμό υφιστάμενων ταινιών QuickTime που είναι γνωστό ότι είναι ασφαλείς. Ευχαριστούμε τον Tom Ferris της ομάδας Adobe Secure Software Engineering Team (ASSET), τον Mike Price των McAfee Abert Labs, τους ερευνητές ασφάλειας Lionel d'Hauenens και Brian Mariani των SysecLabs και έναν ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.