Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του QuickTime 7.5.5

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του QuickTime 7.5.5, το οποίο μπορεί να ληφθεί και να εγκατασταθεί μέσω των προτιμήσεων Ενημέρωση λογισμικού ή από τις Λήψεις Apple.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να μάθετε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στην ενότητα «Ενημερώσεις ασφάλειας Apple».

QuickTime 7.5.5

• QuickTime

  CVE-ID: CVE-2008-3615

  Διατίθεται για: Windows Vista, XP SP2 και SP3

  Αποτέλεσμα: Η προβολή κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπάρχει πρόβλημα πρόσβασης σε μη αρχικοποιημένη μνήμη στον κωδικοποιητή Indeo v5 τρίτου προμηθευτή για το QuickTime που δεν διατίθεται με το QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μην αποδίδοντας περιεχόμενο που έχει κωδικοποιηθεί με οποιαδήποτε έκδοση του κωδικοποιητή Indeo. Αυτό το πρόβλημα δεν επηρεάζει συστήματα που εκτελούν το Mac OS X. Ευχαριστούμε τον Paul Byrne της NGSSoftware για την αναφορά αυτού του προβλήματος.

• QuickTime

  CVE-ID: CVE-2008-3635

  Διατίθεται για: Windows Vista, XP SP2 και SP3

  Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπάρχει υπερχείλιση buffer στοίβας στον κωδικοποιητή Indeo v3.2 τρίτου προμηθευτή για το QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μην αποδίδοντας περιεχόμενο που έχει κωδικοποιηθεί με οποιαδήποτε έκδοση του κωδικοποιητή Indeo. Αυτό το πρόβλημα δεν επηρεάζει συστήματα με Mac OS X. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

• QuickTime

  CVE-ID: CVE-2008-3624

  Διατίθεται για: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2 και SP3

  Αποτέλεσμα: Η προβολή κακόβουλου αρχείου ταινίας QTVR ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπάρχει μια υπερχείλιση buffer στοίβας κατά τον χειρισμό ατόμων πανοράματος σε αρχεία ταινίας QTVR (QuickTime Virtual Reality) εντός του QuickTime. Η προβολή ενός κακόβουλου αρχείου QTVR ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω του βελτιωμένου ελέγχου ορίων των ατόμων πανοράματος. Ευχαριστούμε τον Roee Hay της IBM Rational Application Security Research Group για την αναφορά αυτού του προβλήματος.

• QuickTime

  CVE-ID: CVE-2008-3625

  Διατίθεται για: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2 και SP3

  Αποτέλεσμα: Η προβολή κακόβουλου αρχείου ταινίας QTVR ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπάρχει μια υπερχείλιση buffer στοίβας κατά τον χειρισμό ατόμων πανοράματος σε αρχεία ταινίας QTVR (QuickTime Virtual Reality) εντός του QuickTime. Η προβολή ενός κακόβουλου αρχείου QTVR ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω του βελτιωμένου ελέγχου ορίων των ατόμων πανοράματος. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

• QuickTime

  CVE-ID: CVE-2008-3614

  Διατίθεται για: Windows Vista, XP SP2 και SP3

  Αποτέλεσμα: Το άνοιγμα μιας κακόβουλης εικόνας PICT μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπάρχει υπερχείλιση ακεραίων στον χειρισμό εικόνων PICT από το QuickTime. Το άνοιγμα μιας κακόβουλης εικόνας PICT μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με εκτέλεση πρόσθετης επικύρωσης των εικόνων PICT. Ευχαριστούμε έναν ανώνυμο ερευνητή που συνεργάζεται με το iDefense VCP για την αναφορά αυτού του προβλήματος.

• QuickTime

  CVE-ID: CVE-2008-3626

  Διατίθεται για: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2 και SP3

  Αποτέλεσμα: Η προβολή κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπάρχει πρόβλημα αλλοίωσης μνήμης κατά τον χειρισμό ατόμων STSZ σε αρχεία ταινίας εντός του QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω του βελτιωμένου ελέγχου ορίων των ατόμων STSZ. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

• QuickTime

  CVE-ID: CVE-2008-3627

  Διατίθεται για: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2 και SP3

  Αποτέλεσμα: Η προβολή κακόβουλου αρχείου ταινίας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπάρχουν πολλαπλές αλλοιώσεις μνήμης κατά τον χειρισμό κωδικοποιημένων αρχείων ταινίας H.264 εντός του QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα εκτελώντας πρόσθετη επικύρωση των κωδικοποιημένων αρχείων ταινιών H.264. Ευχαριστούμε τον ανώνυμο ερευνητή και την Subreption LLC που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

• QuickTime

  CVE-ID: CVE-2008-3628

  Διατίθεται για: Windows Vista, XP SP2 και SP3

  Αποτέλεσμα: Το άνοιγμα μιας κακόβουλης εικόνας PICT μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπάρχει πρόβλημα μη έγκυρου δείκτη στον χειρισμό εικόνων PICT από το QuickTime. Το άνοιγμα μιας κακόβουλης εικόνας PICT μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω της σωστής αποθήκευσης και επαναφοράς μιας καθολικής μεταβλητής. Αυτό το πρόβλημα δεν επηρεάζει συστήματα που εκτελούν το Mac OS X. Ευχαριστούμε τον David Wharton για την αναφορά αυτού του προβλήματος.

• QuickTime

  CVE-ID: CVE-2008-3629

  Διατίθεται για: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ή νεότερη έκδοση, Windows Vista, XP SP2 και SP3

  Αποτέλεσμα: Το άνοιγμα μιας κακόβουλης εικόνας PICT ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

  Περιγραφή: Υπάρχει ένα πρόβλημα ανάγνωσης εκτός ορίων κατά τον χειρισμό εικόνων PICT εντός του QuickTime. Το άνοιγμα μιας κακόβουλης εικόνας PICT μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με εκτέλεση πρόσθετης επικύρωσης των εικόνων PICT. Ευχαριστούμε τον Sergio 'shadown' Alvarez της n.runs AG για την αναφορά αυτού του προβλήματος.