על אודות תוכן האבטחה של QuickTime 7.3
מסמך זה מתאר את תוכן האבטחה של QuickTime 7.3, שאפשר להורדה ולהתקנה באמצעות העדפות 'עדכוני תוכנה' או מתוך ההורדות של Apple.
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.
למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple."
היכן שאפשר, מזהי CVE ID משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.
כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא עדכוני האבטחה של Apple.
QuickTime 7.3
QuickTime
CVE-ID: CVE-2007-2395
זמין עבור: Mac OS X v10.3.9, Mac OS X v10.4.9 ואילך, Mac OS X v10.5, Windows Vista, XP SP2
השפעה: הצגת קובץ סרט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי.
תיאור: קיימת בעיית השחתת זיכרון בטיפול של QuickTime באטומים של תיאורי תמונות. על ידי פיתוי משתמש לפתוח קובץ סרט בעל מבנה זדוני, תוקף עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. העדכון מטפל בבעיה על ידי ביצוע אימות נוסף לתיאורי תמונות של QuickTime. תודה לדילן אייש (Dylan Ashe) מ-Adobe Systems Incorporated על הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2007-3750
זמין עבור: Mac OS X v10.3.9, Mac OS X v10.4.9 ואילך, Mac OS X v10.5, Windows Vista, XP SP2
השפעה: הצגת קובץ סרט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי.
תיאור: גלישה של בפר ערימה קיימת בטיפול ב- QuickTime Player באטומים Sample Table Sample Descriptor (STSD). על ידי פיתוי משתמש לפתוח קובץ סרט בעל מבנה זדוני, תוקף עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. העדכון מטפל בבעיה על ידי ביצוע אימות נוסף לאטומי STSD. תודה לטוביאס קליין (Tobias Klein) מ-www.trapkit.de על הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2007-3751
זמין עבור: Mac OS X v10.3.9, Mac OS X v10.4.9 ואילך, Mac OS X v10.5, Windows Vista, XP SP2
השפעה: יישומוני Java לא מהימנים עלולים להשיג הרשאות גבוהות.
תיאור: קיימות פגיעויות מרובות ב-QuickTime עבור Java, שעלולות לאפשר ליישומוני Java לא מהימנים להשיג הרשאות גבוהות. על ידי פיתוי משתמש לגשת לעמוד אינטרנט המכיל יישומון Java בעל מבנה זדוני, תוקף עלול לגרום לחשיפת מידע רגיש ולהפעלת קוד שרירותי באמצעות הרשאות גבוהות. העדכון מטפל בבעיות בכך ש-QuickTime עבור Java לא יהיה נגיש עוד ליישומוני Java לא מהימנים. תודה לאדם גוביאק (Adam Gowdiak) על הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2007-4672
זמין עבור: Mac OS X v10.3.9, Mac OS X v10.4.9 ואילך, Mac OS X v10.5, Windows Vista, XP SP2
השפעה: פתיחת תמונת PDF שנוצרה באופן זדוני עלולה להוביל לסגירה של יישום או להפעלת קוד שרירותי באופן בלתי צפוי.
תיאור: קיימת גלישה של בפר ערימה בעיבוד תמונות PICT. על ידי פיתוי משתמש לפתוח תמונה בעלת מבנה זדוני, תוקף עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. העדכון מטפל בבעיה על ידי ביצוע אימות נוסף לקובצי PICT. תודה לרובן סנטמרטה (Ruben Santamarta) מ-reversemode.com שעובד עם TippingPoint ועם Zero Day Initiative על הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2007-4676
זמין עבור: Mac OS X v10.3.9, Mac OS X v10.4.9 ואילך, Mac OS X v10.5, Windows Vista, XP SP2
השפעה: פתיחת תמונת PDF שנוצרה באופן זדוני עלולה להוביל לסגירה של יישום או להפעלת קוד שרירותי באופן בלתי צפוי.
תיאור: קיימת גלישה של בפר ערימה בעיבוד תמונות PICT. על ידי פיתוי משתמש לפתוח תמונה בעלת מבנה זדוני, תוקף עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. העדכון מטפל בבעיה על ידי ביצוע אימות נוסף לקובצי PICT. תודה לרובן סנטמרטה (Ruben Santamarta) מ-reversemode.com שעובד עם TippingPoint ועם Zero Day Initiative על הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2007-4675
זמין עבור: Mac OS X v10.3.9, Mac OS X v10.4.9 ואילך, Mac OS X v10.5, Windows Vista, XP SP2
השפעה: הצגת קובץ סרט QTVR בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי.
תיאור: קיימת גלישה של בפר ערימה בטיפול של QuickTime באטומי פנורמה לדוגמה בקובצי סרטים של QTVR (QuickTime Virtual Reality). על ידי פיתוי משתמש להציג קובץ QTVR בעל מבנה זדוני, תוקף עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. העדכון מטפל בבעיה על ידי ביצוע בדיקת חסמים לאטומי פנורמה לדוגמה. תודה למריו בלנו (Mario Ballano) מ-48bits.com שעובד עם VeriSign iDefense VCP על הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2007-4677
זמין עבור: Mac OS X v10.3.9, Mac OS X v10.4.9 ואילך, Mac OS X v10.5, Windows Vista, XP SP2
השפעה: הצגת קובץ סרט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי.
תיאור: קיימת גלישה של בפר ערימה בניתוח האטום של טבלת הצבעים בעת פתיחת קובץ סרט. על ידי פיתוי משתמש לפתוח קובץ סרט בעל מבנה זדוני, תוקף עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. העדכון מטפל בבעיה על ידי ביצוע אימות נוסף לאטומי טבלת הצבעים. תודה לרובן סנטמרטה (Ruben Santamarta) ולמריו בלנו (Mario Ballano) מ-reversemode.com שעובדים עם TippingPoint ועם Zero Day Initiative על הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2007-4674
זמין עבור: Mac OS X v10.3.9, Mac OS X v10.4.9 ואילך, Mac OS X v10.5, Windows Vista, XP SP2
השפעה: הצגת קובץ סרט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי.
תיאור: בעיה באריתמטיקה של מספרים שלמים בטיפול של QuickTime באטומים מסוימים של קובצי סרט עלולה להוביל לגלישה של בפר ערימה. על ידי פיתוי משתמש לפתוח קובץ סרט בעל מבנה זדוני, תוקף עלול לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. העדכון נותן מענה לבעיה באמצעות טיפול משופר באורך שדות האטומים בקובצי סרטים. תודה לקודי פירס (Cody Pierce) מ-TippingPoint DVLabs על הדיווח על הבעיה.
חשוב: מידע על מוצרים שאינם מיוצרים על ידי Apple נמסר למטרות מידע בלבד ואינו מהווה המלצה או תמיכה של Apple. למידע נוסף, צרו קשר עם הספק.