Tietoja QuickTime 7.3:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan asetusten Ohjelmiston päivitys -kohdasta tai Applen lataussivustosta ladattavan ja asennettavan QuickTime 7.3:n turvallisuussisällöstä.
Apple haluaa suojella asiakkaitaan eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
QuickTime 7.3
QuickTime
CVE-ID: CVE-2007-2395
Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9 tai uudempi, Mac OS X 10.5, Windows Vista, XP SP2
Vaikutus: haitallisen elokuvatiedoston avaaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: QuickTimen tavassa käsitellä kuvankuvausatomeja oli muistinvioittumisongelma. Hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän avaamaan haitallisesti laaditun elokuvatiedoston. Päivitys ratkaisee ongelman suorittamalla QuickTime-kuvakuvausten lisätarkistuksen. Kiitos Adobe Systems Incorporatedin Dylan Asheelle ongelman ilmoittamisesta.
QuickTime
CVE-ID: CVE-2007-3750
Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9 tai uudempi, Mac OS X 10.5, Windows Vista, XP SP2
Vaikutus: haitallisen elokuvatiedoston avaaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: QuickTime Playerin tavassa käsitellä näytetaulukon näytekuvausten STSD-atomeja oli kekopuskurin ylivuoto. Hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän avaamaan haitallisesti laaditun elokuvatiedoston. Päivitys ratkaisee ongelman suorittamalla STSD-atomien lisätarkistuksen. Kiitos www.trapkit.de-sivuston Tobias Kleinille ongelman ilmoittamisesta.
QuickTime
CVE-ID: CVE-2007-3751
Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9 tai uudempi, Mac OS X 10.5, Windows Vista, XP SP2
Vaikutus: ei-luotetut Java-sovelmat saattoivat saada korotetut käyttöoikeudet.
Kuvaus: QuickTimen Java-versiossa oli useita haavoittuvuuksia, jotka saattavat sallia korotetut käyttöoikeudet Java-sovelmille, jotka eivät ole luotettuja. Hyökkääjä saattoi aiheuttaa arkaluonteisten tietojen paljastumisen ja mielivaltaisen koodin suorittamisen laajennetuilla käyttöoikeuksilla houkuttelemalla käyttäjän käymään haitallisen Java-sovelman sisältävällä verkkosivulla. Päivitys ratkaisee ongelmat poistamalla QuickTime for Javan käyttömahdollisuuden Java-sovelmilta, jotka eivät ole luotettuja. Kiitos Adam Gowdiakille ongelman ilmoittamisesta.
QuickTime
CVE-ID: CVE-2007-4672
Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9 tai uudempi, Mac OS X 10.5, Windows Vista, XP SP2
Vaikutus: haitallisen PICT-kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: PICT-kuvien käsittelyssä oli pinopuskurin ylivuoto. Hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän avaamaan haitallisen kuvan. Päivitys ratkaisee ongelman suorittamalla PICT-tiedostojen lisätarkistuksen. Kiitos yhteistyössä TippPointin ja Zero Day Initiativen kanssa toimineelle reversemode.com-sivuston Ruben Santamartalle ongelman ilmoittamisesta.
QuickTime
CVE-ID: CVE-2007-4676
Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9 tai uudempi, Mac OS X 10.5, Windows Vista, XP SP2
Vaikutus: haitallisen PICT-kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: PICT-kuvien käsittelyssä oli kekopuskurin ylivuoto. Hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän avaamaan haitallisen kuvan. Päivitys ratkaisee ongelman suorittamalla PICT-tiedostojen lisätarkistuksen. Kiitos yhteistyössä TippPointin ja Zero Day Initiativen kanssa toimineelle reversemode.com-sivuston Ruben Santamartalle ongelman ilmoittamisesta.
QuickTime
CVE-ID: CVE-2007-4675
Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9 tai uudempi, Mac OS X 10.5, Windows Vista, XP SP2
Vaikutus: haitallisen elokuvatiedoston avaaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: QuickTimen tavassa käsitellä QTVR (QuickTime Virtual Reality) -elokuvatiedostojen panoraamanäyteatomeja oli kekopuskurin ylivuoto. Hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän avaamaan haitallisesti laaditun QTVR-tiedoston. Päivitys ratkaisee ongelman suorittamalla panoraamanäyteatomien rajatarkistuksen. Kiitos yhteistyössä VeriSign iDefence VCP:n kanssa toimineelle 48bits.com-sivuston Mario Ballanolle ongelman ilmoittamisesta.
QuickTime
CVE-ID: CVE-2007-4677
Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9 tai uudempi, Mac OS X 10.5, Windows Vista, XP SP2
Vaikutus: haitallisen elokuvatiedoston avaaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: väritaulukon atomin jäsentämisessä elokuvatiedostoa avattaessa oli kekopuskurin ylivuoto. Hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän avaamaan haitallisesti laaditun elokuvatiedoston. Päivitys ratkaisee ongelman suorittamalla väritaulukkoatomien lisätarkistuksen. Kiitos yhteistyössä TippPointin ja Zero Day Initiativen kanssa toimineelle reversemode.com-sivuston Ruben Santamartalle ja 48bits.com-sivuston Mario Ballanolle ongelman ilmoittamisesta.
QuickTime
CVE-ID: CVE-2007-4674
Saatavuus: Mac OS X 10.3.9, Mac OS X 10.4.9 tai uudempi, Mac OS X 10.5, Windows Vista, XP SP2
Vaikutus: haitallisen elokuvatiedoston avaaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: kokonaislukujen aritmetiikkaongelma QuickTimen tiettyjen elokuvatiedostoatomien käsittelyssä saattoi johtaa pinopuskurin ylivuotoon. Hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän avaamaan haitallisesti laaditun elokuvatiedoston. Päivitys ratkaisee ongelman parantamalla elokuvatiedostojen atomipituuskenttien käsittelyä. Kiitos Tippingpoint DVLabsin Cody Piercelle ongelman ilmoittamisesta.
Tärkeää: Muita kuin Applen valmistamia tuotteita koskevat tiedot annetaan vain tiedoksi. Tiedot eivät tarkoita, että Apple suosittelisi niiden käyttöä. Voit pyytää lisätietoja ottamalla yhteyden myyjään tai palveluntarjoajaan.