מידע על תוכן האבטחה של QuickTime 7.6
מסמך זה מתאר את תוכן האבטחה של QuickTime 7.6, שניתן להוריד ולהתקין באמצעות העדפות עדכוני תוכנה, או מ-הורדות של Apple.
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.
למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".
היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.
כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple."
QuickTime 7.6
QuickTime
CVE-ID: CVE-2009-0001
זמין עבור: Mac OS X גרסה 10.4.9 עד גרסה 10.4.11, Mac OS X גרסה 10.5 ומעלה, Windows Vista, XP SP2 ו-SP3
השפעה: כניסה לכתובת URL של RTSP בעלת מבנה זדוני עלולה לגרום לסגירה של יישום באופן בלתי צפוי או להפעלת קוד שרירותי
תיאור: קיימת גלישת חוצץ ערימה בטיפול של QuickTime בכתובת URL של RTSP. כניסה לכתובת URL של RTSP בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. העדכון מטפל בבעיה על ידי ביצוע אימות נוסף של כתובות URL RTSP. תודה לאטילה סאסטר עבור הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0002
זמין עבור: Mac OS X גרסה 10.4.9 עד גרסה 10.4.11, Mac OS X גרסה 10.5 ומעלה, Windows Vista, XP SP2 ו-SP3
השפעה: צפייה בקובץ של סרטון QTVR בעל מבנה זדוני עלולה לגרום לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי
תיאור: קיימת גלישת חוצץ ערימה בטיפול של QuickTime באטומי THKD ב-QTVR (QuickTime Virtual Reality). הצגת קובץ QTVR בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. קרדיט לחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint עבור הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0003
זמין עבור: Mac OS X גרסה 10.4.9 עד גרסה 10.4.11, Mac OS X גרסה 10.5 ומעלה, Windows Vista, XP SP2
השפעה: צפייה בקובץ סרטון בפורמט AVI בעל על מבנה זדוני עלולה לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: תיתכן גלישת חוצץ ערימה במהלך עיבוד של קובץ סרטון בפורמט AVI. פתיחת קובץ סרטון בפורמט AVI בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. קרדיט לחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint עבור הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0004
זמין עבור: Mac OS X גרסה 10.4.9 - גרסה 10.4.11, Mac OS X גרסה 10.5 ומעלה, Windows Vista, XP SP2 ו-SP3
השפעה: צפייה בקובץ של סרטון בעל מבנה זדוני עלולה לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קיימת גלישת חוצץ ערימה בטיפול בקובצי וידאו בפורמט MPEG-2 עם תוכן שמע בפורמט MP3. הצגת קובץ סרטון בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. תודה לצ'אד דוהרטי מ-CERT Coordination Center עבור הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0005
זמין עבור: Mac OS X גרסה 10.4.9 עד גרסה 10.4.11, Mac OS X גרסה 10.5 ומעלה, Windows Vista, XP SP2 ו-SP3
השפעה: צפייה בקובץ של סרטון שנוצר באופן זדוני עלולה לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי.
תיאור: קיימת בעיה של השחתת זיכרון באופן הטיפול של QuickTime בקובצי סרטונים עם קידוד H.263. הצגת קובץ סרטון בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. בעדכון זה ניתן מענה לבעיה על ידי ביצוע אימות נוסף של קובצי סרטים עם קידוד H.263. תודה לדייב סולדרה מ-NGS Software עבור הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0006
זמין עבור: Mac OS X גרסה 10.4.9 עד גרסה 10.4.11, Mac OS X גרסה 10.5 ומעלה, Windows Vista, XP SP2 ו-SP3
השפעה: צפייה בקובץ של סרטון שנוצר באופן זדוני עלולה לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי.
תיאור: קיימת בעיית חתימה באופן הטיפול של QuickTime בקובצי סרטונים עם קידוד Cinepak, שעלול לגרום לגלישת חוצץ ערימה. הצגת קובץ סרטון בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של קובצי סרטים. קרדיט לחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint עבור הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0007
זמין עבור: Mac OS X גרסה 10.4.9 עד גרסה 10.4.11, Mac OS X גרסה 10.5 ומעלה, Windows Vista, XP SP2 ו-SP3
השפעה: צפייה בקובץ של סרטון בעל מבנה זדוני עלולה לגרום לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי
תיאור: קיימת גלישת חוצץ ערימה באופן הטיפול של QuickTime באטומי jpeg בקבצים של סרטוני QuickTime. הצגת קובץ סרטון בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. תודה לחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint ודיווח על הבעיה.
חשוב: מידע על מוצרים שאינם מיוצרים על ידי Apple ניתן למטרות מידע בלבד ואינו מהווה המלצה או תמיכה של Apple. יש ליצור קשר עם הספק לקבלת מידע נוסף.