Tietoja QuickTime 7.5:n turvallisuussisällöstä

Tämä dokumentti sisältää tietoja QuickTime 7.5:n turvallisuussisällöstä, joka voidaan ladata ja asentaa ohjelmistopäivitysasetuksista tai Applen latauksista.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja muista suojauspäivityksistä on artikkelissaApplen suojauspäivitykset.

QuickTime 7.5

QuickTime

CVE-ID: CVE-2008-1581

Saatavuus: Windows Vista, XP SP2

Vaikutus: Haitallisen PICT-kuvatiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: QuickTimen PixData-rakenteiden käsittelyongelma PICT-kuvan käsittelyn aikana voi aiheuttaa kekopuskurin ylivuodon. Haitallisen PICT-kuvan avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Tämä ongelma ei koske järjestelmiä, joissa on Mac OS X. Kiitokset Dyon Baldingille (Secunia Research) tämän ongelman ilmoittamisesta.

QuickTime

CVE-ID: CVE-2008-1582

Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 tai uudempi, Windows Vista, XP SP2

Vaikutus: Haitallisen AAC-koodatun mediasisällön avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: QuickTimen AAC-koodatun mediasisällön käsittelyssä on muistin vioittumisongelma. Haitallisen mediatiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman suorittamalla mediatiedostojen lisävahvistuksen. Kiitokset Dave Solderalle (NGS Software) ja Jens Alfkelle tämän ongelman ilmoittamisesta.

QuickTime

CVE-ID: CVE-2008-1583

Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 tai uudempi, Windows Vista, XP SP2

Vaikutus: Haitallisen PICT-kuvatiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: QuickTimen tavassa käsitellä PICT-tiedostoja oli kekopuskurin ylivuoto. Haitallisen PICT-kuvatiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Kiitokset Liam O Murchulle (Symantec) tämän ongelman ilmoittamisesta.

QuickTime

CVE-ID: CVE-2008-1584

Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 tai uudempi, Windows Vista, XP SP2

Vaikutus: Haitallisen Indeo 4 -videomediasisällön katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: QuickTimen Indeo-videokoodekkisisällön käsittelyssä ilmennyt ongelma saattaa johtaa kekopuskurin ylivuotoon. Indeo-videokoodekkisisältöä käyttävän haitallisen elokuvatiedoston katsominen voi aiheuttaa odottamattoman appien sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman poistamalla Indeo 4 -videokoodekkisisällön mallinnuksen. Kiitokset nimettömälle tutkijalle (TippingPointin Zero Day Initiative) tämän ongelman ilmoittamisesta.

QuickTime

CVE-ID: CVE-2008-1585

Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 tai uudempi, Windows Vista, XP SP2

Vaikutus: Haitallisen QuickTime-sisällön toistaminen QuickTime Playerissa saattaa johtaa mielivaltaiseen koodin suorittamiseen.

Kuvaus: QuickTimen tiedostojen käsittelyssä on URL-käsittelyongelma tiedostossa ”URLs”. Tämä saattaa sallia mielivaltaisten appien ja tiedostojen käynnistämisen, kun käyttäjä toistaa haitallista QuickTime-sisältöä QuickTime Playerissa. Tämä päivitys korjaa ongelman näyttämällä tiedostot Finderissa tai Windowsin Resurssienhallinnassa sen sijaan, että ne käynnistyisivät. Kiitokset Vinoo Tuomakselle ja Rahul Mohandasille (McAfee Avert Labs) ja Petko D. (pdp) Petkoville (GNUCITIZEN, yhteistyössä TippingPointin Zero Day Initiativen kanssa) tämän ongelman ilmoittamisesta.

QuickTime

CVE-ID: CVE-2008-2319

Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 tai uudempi, Windows Vista, XP SP2

Vaikutus: Haitallisen PICT-kuvatiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: QuickTimen PICT-kuvien käsittelyssä esiintyvä allekirjoituksen laajennusongelma saattaa johtaa kekopuskurin ylivuotoon. Haitallisen PICT-kuvatiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman pitämällä arvoa allekirjoittamattomana. Kiitokset Sergio ”shadown” Alvarezille (n.runs AG) tämän ongelman ilmoittamisesta.