על אודות תוכן האבטחה של QuickTime 7.1.6

מסמך זה מתאר את תוכן האבטחה של QuickTime 7.1.6, שאפשר להורדה ולהתקנה באמצעות העדפות 'עדכוני תוכנה' או מתוך ההורדות של Apple.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple."

היכן שאפשר, מזהי CVE ID משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני האבטחה של Apple".

עדכון QuickTime 7.1.6

QuickTime

CVE-ID: CVE-2007-2175

זמין עבור: Mac OS X v10.3.9‏, Mac OS X v10.4.9‏, Windows XP SP2‏, Windows 2000 SP4

השפעה: גישה לאתר זדוני עלולה להוביל להפעלת קוד שרירותי.

תיאור: קיימת בעיית הטמעה ב-QuickTime עבור Java, שעשויה לאפשר קריאה או כתיבה מחוץ לתחום הערימה שהוקצה. על ידי פיתוי משתמש לגשת לעמוד אינטרנט שמכיל יישומון Java בעל מבנה זדוני, תוקף עלול להפעיל את הבעיה, דבר שעלול להוביל להפעלת קוד שרירותי. העדכון נותן מענה לבעיה באמצעות בדיקת חסמים נוספת בעת יציאת אובייקטי QTPointerRef. תודה לדיינו דאי זווי (Dino Dai Zovi) מ-reversemode.com שעובד עם TippingPoint ועם Zero Day Initiative על הדיווח על הבעיה.