אודות תוכן האבטחה של QuickTime 7.3.1

מסמך זה מתאר את תוכן האבטחה של QuickTime 7.3.1, שניתן להוריד ולהתקין באמצעות העדפות 'עדכוני תוכנה', או מהורדות של Apple.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו ב"כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה אחרים, עיינו ב-"עדכוני אבטחה של Apple".

QuickTime 7.3.1

QuickTime

מזהה CVE‏: CVE-2007-6166

זמין עבור: Mac OS X גרסה 10.3.9, Mac OS X גרסה 10.4.9 ואילך, Mac OS X גרסה 10.5 ואילך, Windows Vista, XP SP2

השפעה: הצגת סרט RTSP בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי.

תיאור: גלישת חוצץ קיימת בטיפול של QuickTime בכותרות של RTSP (פרוטוקול הזרמה בזמן אמת). על ידי פיתויו של משתמש לצפות בסרט RTSP בעל מבנה זדוני, תוקף עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה בכך שהוא מוודא שגודל חוצץ היעד יכיל את הנתונים.

QuickTime

מזהה CVE‏: CVE-2007-4706

זמין עבור: Mac OS X גרסה 10.3.9, Mac OS X גרסה 10.4.9 ואילך, Mac OS X גרסה 10.5 ואילך, Windows Vista, XP SP2

השפעה: הצגת קובץ QTL בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי.

תיאור: קיימת גלישת חוצץ ערימה בטיפול של QuickTime בקובצי QTL. על ידי פיתויו של משתמש לצפות בקובץ QTL בעל מבנה זדוני, תוקף עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת גבולות משופרת.

QuickTime

מזהה CVE‏: CVE-2007-4707

זמין עבור: Mac OS X גרסה 10.3.9, Mac OS X גרסה 10.4.9 ואילך, Mac OS X גרסה 10.5 ואילך, Windows Vista, XP SP2

השפעה: מספר פגיעויות במפעיל מדיה Flash של QuickTime

תיאור: קיימות מספר פגיעויות במפעיל מדיה Flash של QuickTime, שהחמורה שבהן עלולה להוביל להפעלת קוד שרירותי. עם עדכון זה, מפעיל מדיה Flash ב-QuickTime מושבת, למעט מספר מוגבל של סרטים קיימים מסוג QuickTime שידוע כי הם בטוחים. קרדיט ל-Tom Ferris מ-Adobe Secure Software Engineering Team (Asset), ל-Mike Price מ-McAfee Avert Labs, לחוקרי האבטחה Lionel d'Hauenens ו-Brian Mariani מ-Syseclabs, ולחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint עבור הדיווח על הבעיה.

חשוב: מידע על מוצרים שאינם מיוצרים על ידי Apple ניתן למטרות מידע בלבד ואינו מהווה המלצה או תמיכה של Apple. יש ליצור קשר עם הספק לקבלת מידע נוסף.

Published Date: