מידע על תוכן האבטחה של QuickTime 7.6.2
מסמך זה מתאר את תוכן האבטחה של QuickTime 7.6.2.
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.
למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".
היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.
כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple."
QuickTime 7.6.2
QuickTime
CVE-ID: CVE-2009-0188
זמין עבור: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista ו-XP SP3
השפעה: פתיחת קובץ סרט בפורמט בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי
תיאור: קיימת בעיה של השחתת זיכרון בטיפול של QuickTime בקובצי וידאו מסוג Sorenson 3. פעולה זו עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של קובצי וידאו מסוג Sorenson 3. תודה ל-Carsten Eiram מ-Secunia Research שדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0951
זמין עבור: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista ו-XP SP3
השפעה: פתיחת קובץ FLC דחוס בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי
תיאור: קיימת גלישת חוצץ ערימה בטיפול בקובצי דחיסה בפורמט FLC. פתיחת קובץ FLC דחוס בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. קרדיט לחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint עבור הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0952
זמין עבור: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista ו-XP SP3
השפעה: הצגת תמונת PSD בעלת מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי
תיאור: קיימת גלישת חוצץ בערימה בטיפול בתמונת PSD דחוסה. פתיחת קובץ PSD דחוס בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. תודה ל-Damian Put שעובד עם TippingPoint's Zero Day Initiative שדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0010
זמין עבור: Windows Vista ו-XP SP3
השפעה: פתיחת תמונת PICT בעלת מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי
תיאור: גלישה נומרית מלמטה בטיפול של QuickTime בתמונות PICT עלולה לגרום לגלישת חוצץ ערימה. פתיחת קובץ PICT בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של תמונות PICT. תודה ל-Sebastian Apelt שעובד עם TippingPoint's Zero Day Initiative ול-Chris Ries מ-Carnegie Mellon University Computing Services שדיווחו על הבעיה.
QuickTime
CVE-ID: CVE-2009-0953
זמין עבור: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista ו-XP SP3
השפעה: פתיחת תמונת PICT בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי
תיאור: קיימת בעיה של גלישת חוצץ ערימה בטיפול של QuickTime בתמונות PICT. פתיחת קובץ PICT בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של תמונות PICT. תודה ל-Sebastian Apelt שעובד עם TippingPoint's Zero Day Initiative שדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0954
זמין עבור: Windows Vista ו-XP SP3
השפעה: פתיחת קובץ סרט בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי
תיאור: קיימת בעיה של גלישת חוצץ ערימה בטיפול של QuickTime בסוגי אטום Clipping Region (CRGN) בקובץ סרט. פתיחת קובץ סרט בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. בעיה זו אינה משפיעה על מערכות Mac OS X. קרדיט לחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint עבור הדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0185
זמין עבור: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista ו-XP SP3
השפעה: הצגת קובץ סרט בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי
תיאור: קיימת גלישת חוצץ ערימה בטיפול של MS ADPCM בנתוני שמע מקודדים. הצגת קובץ סרטון בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. תודה ל-Alin Rad Pop מ-Secunia Research שדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0955
זמין עבור: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista ו-XP SP3
השפעה: פתיחת קובץ וידאו בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי
תיאור: בעיה בהרחבת סימן בטיפול של QuickTime של אטומי תיאור תמונה. פתיחת קובץ וידאו של Apple בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות אימות משופר של אטומי תיאור. תודה ל-Roee Hay מ-IBM Rational Application Security Research Group שדיווח על הבעיה.
QuickTime
CVE-ID: CVE-2009-0956
זמין עבור: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista ו-XP SP3
השפעה: הצגת אטום נתוני משתמש בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי
תיאור: קיימת בעיה של גישה אל הזיכרון ללא אתחול בטיפול של QuickTime בקובצי סרט. הצגת קובץ סרט בגודל אטום ללא נתוני משתמש עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על-ידי ביצוע אימות נוסף של קובצי סרטים והצגת תיבת דו-שיח של אזהרה למשתמש. תודה ללוריין גרנייר מ-Sourcefire, Inc. (VRT) שדיווחה על הבעיה.
QuickTime
CVE-ID: CVE-2009-0957
זמין עבור: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista ו-XP SP3
השפעה: הצגת תמונת JP2 בעלת מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי
תיאור: קיימת גלישת חוצץ ערימה בטיפול של QuickTime בתמונות JP2. הצגה של תמונת JP2 בעלת מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. תודה ל-Charlie Miller מ-Independent Security Evaluators, ול-Damian Put שעובד עם TippingPoint's Zero Day Initiative שדיווחו על הבעיה.
חשוב: מידע על מוצרים שאינם מיוצרים על ידי Apple ניתן למטרות מידע בלבד ואינו מהווה המלצה או תמיכה של Apple. יש ליצור קשר עם הספק לקבלת מידע נוסף.