מידע על תוכן האבטחה של QuickTime 7.5.5

מסמך זה מתאר את תוכן האבטחה של QuickTime 7.5.5, שניתן להוריד ולהתקין באמצעות העדפות 'עדכוני תוכנה', או מהורדות של Apple.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו ב-"כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו ב"עדכוני אבטחה של Apple".

QuickTime 7.5.5

  • QuickTime

    ‏CVE-ID: ‏CVE-2008-3615

    זמין עבור: Windows מהדורות Vista‏, XP SP2 ו-XP SP3

    השפעה: הצגת קובץ סרטון בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיית גישה לזיכרון לא מאותחל בערכת קידוד Indeo v5 של צד שלישי עבור QuickTime, שאינה מגיעה עם QuickTime. הצגת קובץ סרטון בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה בכך שאינו מעבד תוכן שמקודד בכל גרסה שהיא של ערכת הקידוד Indeo. בעיה זו אינה משפיעה על מערכות Mac OS X. תודה ל-Paul Byrne מ-NGSSoftware על הדיווח על בעיה זו.

  • QuickTime

    ‏CVE-ID: ‏CVE-2008-3635

    זמין עבור: Windows מהדורות Vista‏, XP SP2 ו-XP SP3

    השפעה: הצגת קובץ סרטון בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת גלישה של אחסון זמני בערימה בערכת קידוד Indeo v3.2 של צד שלישי עבור QuickTime. הצגת קובץ סרטון בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה בכך שאינו מעבד תוכן שמקודד בכל גרסה שהיא של ערכת הקידוד Indeo. בעיה זו אינה משפיעה על מערכות הפועלות עם Mac OS X. תודה לחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint על הדיווח על הבעיה.

  • QuickTime

    ‏CVE-ID: ‏CVE-2008-3624

    זמין עבור: Mac OS X גרסה 10.4.9 עד גרסה 10.4.11, Mac OS X גרסה 10.5 ומעלה, Windows Vista, ‏XP SP2 ו-XP SP3

    השפעה: צפייה בקובץ של סרטון QTVR בעל מבנה זדוני עלולה לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של גלישת אחסון זמני בערימה בטיפול של QuickTime באטומי פנורמה בקבצים של סרטוני QTVR ‏(QuickTime Virtual Reality). הצגת קובץ QTVR בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה פותר את הבעיה על ידי שיפור בדיקת הטווח של אטומי פנורמה. תודה ל-Roee Hay מ-IBM Rational Application Security Research Group שדיווח על הבעיה.

  • QuickTime

    ‏CVE-ID: ‏CVE-2008-3625

    זמין עבור: Mac OS X גרסה 10.4.9 עד גרסה 10.4.11, Mac OS X גרסה 10.5 ומעלה, Windows Vista, ‏XP SP2 ו-XP SP3

    השפעה: צפייה בקובץ של סרטון QTVR בעל מבנה זדוני עלולה לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של גלישת אחסון זמני בערימה בטיפול של QuickTime באטומי פנורמה בקבצים של סרטוני QTVR ‏(QuickTime Virtual Reality). הצגת קובץ QTVR בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה פותר את הבעיה על ידי שיפור בדיקת הטווח של אטומי פנורמה. קרדיט לחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint עבור הדיווח על הבעיה.

  • QuickTime

    ‏CVE-ID: ‏CVE-2008-3614

    זמין עבור: Windows מהדורות Vista‏, XP SP2 ו-XP SP3

    השפעה: פתיחת תמונת PICT בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת גלישת מספרים שלמים בטיפול של QuickTime בתמונות PICT. פתיחת תמונה מסוג PICT בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של תמונות PICT. קרדיט לחוקר אנונימי שעובד עם iDefense VCP עבור הדיווח על הבעיה.

  • QuickTime

    ‏CVE-ID: ‏CVE-2008-3626

    זמין עבור: Mac OS X גרסה 10.4.9 עד גרסה 10.4.11, Mac OS X גרסה 10.5 ומעלה, Windows Vista,‏ XP SP2 ו-XP SP3

    השפעה: צפייה בקובץ של סרטון שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של השחתת זיכרון באופן הטיפול של QuickTime באטומי STSZ בקובצי סרטונים. הצגת קובץ סרטון בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה פותר את הבעיה על ידי שיפור בדיקת הטווח של אטומים של STSZ. קרדיט לחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint עבור הדיווח על הבעיה.

  • QuickTime

    ‏CVE-ID: ‏CVE-2008-3627

    זמין עבור: Mac OS X גרסה 10.4.9 עד גרסה 10.4.11, Mac OS X גרסה 10.5 ומעלה, Windows Vista,‏ XP SP2 ו-XP SP3

    השפעה: צפייה בקובץ של סרטון שנוצר באופן זדוני עלולה לגרום לסגירה בלתי צפויה של של יישום או להפעלת קוד שרירותי

    תיאור: קיימות מספר בעיות השחתת זיכרון בטיפול של QuickTime בקובצי סרטונים עם קידוד H.264. הצגת קובץ סרטון בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. בעדכון זה ניתן מענה לבעיה על ידי ביצוע אימות נוסף של קובצי סרטים עם קידוד H.264. תודה לחוקר אנונימי ול-Subreption LLC שעובדים עם TippingPoint's Zero Day Initiative על הדיווח על בעיה זו.

  • QuickTime

    ‏CVE-ID: ‏CVE-2008-3628

    זמין עבור: Windows מהדורות Vista‏, XP SP2 ו-XP SP3

    השפעה: פתיחת תמונת PICT בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיית מצביע לא חוקי בטיפול של QuickTime בתמונות PICT. פתיחת תמונה מסוג PICT בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי שמירה ושחזור הולמים של משתנה גלובלי. בעיה זו אינה משפיעה על מערכות Mac OS X. תודה ל-David Wharton על הדיווח על בעיה זו.

  • QuickTime

    ‏CVE-ID: ‏CVE-2008-3629

    זמין עבור: Mac OS X גרסה 10.4.9 עד גרסה 10.4.11, Mac OS X גרסה 10.5 ומעלה, Windows Vista,‏ XP SP2 ו-XP SP3

    השפעה: פתיחה של תמונת PICT בעלת מבנה זדוני עלולה לגרום לסגירה בלתי צפויה של יישום

    תיאור: קיימת בעיה של קריאה מחוץ לטווח בטיפול של QuickTime בתמונות PICT. פתיחה של תמונת PICT זדונית עלולה להוביל לסיום בלתי צפוי של יישום. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של תמונות PICT. קרדיט ל-Sergio 'shadown' Alvarez מ-n.runs AG עבור הדיווח על הבעיה.

חשוב: מידע על מוצרים שאינם מיוצרים על ידי Apple ניתן למטרות מידע בלבד ואינו מהווה המלצה או תמיכה של Apple. לקבלת מידע נוסף, פנו אל הספק.

Published Date: