אודות תוכן האבטחה של QuickTime 7.5

מסמך זה מתאר את תוכן האבטחה של QuickTime 7.5, שניתן להוריד ולהתקין באמצעות העדפות 'עדכוני תוכנה' או מ'הורדות של Apple'.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא 'אבטחת מוצר של Apple', עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple."

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על 'עדכוני אבטחה' אחרים, עיינו ב"'עדכוני אבטחה של Apple'".

QuickTime 7.5

QuickTime

מזהה CVE‏: CVE-2008-1581

זמין עבור: Windows Vista, XP SP2

השפעה: פתיחת קובץ תמונה מסוג PICT בעל מבנה זדוני עלולה להוביל לסגירה של יישום או להפעלת קוד שרירותי באופן בלתי צפוי.

תיאור: בעיה בטיפול של QuickTime במבני PixData בעת עיבוד תמונה מסוג PICT עלולה לגרום לגלישת חוצץ ערימה. פתיחת תמונה מסוג PICT בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת גבולות משופרת. בעיה זו אינה משפיעה על מערכות שבהן פועל Mac OS X. קרדיט ל-Dyon Ballding מ-Secunia Research עבור הדיווח על הבעיה.

QuickTime

מזהה CVE‏: CVE-2008-1582

זמין עבור: Mac OS X גרסה 10.3.9, Mac OS X גרסה 10.4.9 - גרסה 10.4.11, Mac OS X גרסה 10.5 ואילך, Windows Vista, XP SP2

השפעה: פתיחת תוכן מדיה המקודד ב-AAC בעל מבנה זדוני עלולה להוביל לסגירה של יישום או להפעלת קוד שרירותי באופן בלתי צפוי.

תיאור: קיימת בעיה של השחתת זיכרון בטיפול של QuickTime בתוכן מדיה המקודד ב-AAC. פתיחת קובץ מדיה בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של קובצי מדיה. קרדיט ל-Dave Soldera מ-NGS Software, ו-Jens Alfke עבור הדיווח על הבעיה.

QuickTime

מזהה CVE‏: CVE-2008-1583

זמין עבור: Mac OS X גרסה 10.3.9, Mac OS X גרסה 10.4.9 - גרסה 10.4.11, Mac OS X גרסה 10.5 ואילך, Windows Vista, XP SP2

השפעה: פתיחת קובץ תמונה מסוג PICT בעל מבנה זדוני עלולה להוביל לסגירה של יישום או להפעלת קוד שרירותי באופן בלתי צפוי.

תיאור: קיימת גלישת חוצץ ערימה בטיפול של QuickTime בתמונות מסוג PICT. פתיחת קובץ תמונה מסוג PICT בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת גבולות משופרת. קרדיט ל-Liam O Murchu מ-Symantec עבור הדיווח על הבעיה.

QuickTime

מזהה CVE‏: CVE-2008-1584

זמין עבור: Mac OS X גרסה 10.3.9, Mac OS X גרסה 10.4.9 - גרסה 10.4.11, Mac OS X גרסה 10.5 ואילך, Windows Vista, XP SP2

השפעה: הצגת תוכן מדיה וידאו מסוג Indeo 4 בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי.

תיאור: בעיה בטיפול של QuickTime בתוכן Codec וידאו מסוג Indeo עלולה לגרום לגלישת מחסנית ערימה. הצגת קובץ סרט בעל מבנה זדוני עם תוכן Codec וידאו מסוג Indeo עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי אי-עיבוד של תוכן Codec וידאו מסוג Indeo 4. קרדיט לחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint עבור הדיווח על הבעיה.

QuickTime

מזהה CVE‏: CVE-2008-1585

זמין עבור: Mac OS X גרסה 10.3.9, Mac OS X גרסה 10.4.9 - גרסה 10.4.11, Mac OS X גרסה 10.5 ואילך, Windows Vista, XP SP2

השפעה: הפעלת תוכן QuickTime בעל מבנה זדוני ב-QuickTime Player עלולה להוביל להפעלת קוד שרירותי.

תיאור: קיימת בעיה בטיפול בכתובת אתר אינטרנט בטיפול של QuickTime בקובץ: כתובות אתרי אינטרנט. הבעיה עשויה לאפשר הפעלה של יישומים וקבצים שרירותיים כאשר משתמש מפעיל תוכן QuickTime בעל מבנה זדוני ב-QuickTime Player. עדכון זה מטפל בבעיה על ידי חשיפת קבצים ב-Finder או ב-Windows Explorer במקום הפעלתם. קרדיט ל-Vinoo Thomas ו-Rahul Mohandas מ-McAfee Avert Labs, ול-Petko D. (pdp) Petkov מ-GNUCITIZEN בעבודה עם Zero Day Initiative של TippingPoint עבור הדיווח על הבעיה.

QuickTime

מזהה CVE‏: CVE-2008-2319

זמין עבור: Mac OS X גרסה 10.3.9, Mac OS X גרסה 10.4.9 - גרסה 10.4.11, Mac OS X גרסה 10.5 ואילך, Windows Vista, XP SP2

השפעה: פתיחת קובץ תמונה מסוג PICT בעל מבנה זדוני עלולה להוביל לסגירה של יישום או להפעלת קוד שרירותי באופן בלתי צפוי.

תיאור: בעיה בהרחבת סימן בטיפול של QuickTime בתמונות מסוג PICT עלולה להוביל לגלישת חוצץ ערימה. פתיחת קובץ תמונה מסוג PICT בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי התייחסות לערך כאל ערך לא חתום. קרדיט ל-Sergio 'shadown' Alvarez מ-n.runs AG עבור הדיווח על הבעיה.