Informacije o sigurnosnom sadržaju sustava QuickTime 7.5
U ovom se dokumentu opisuje sigurnosni sadržaj sustava QuickTime 7.5 koji se može preuzeti i instalirati putem postavki ažuriranja softvera ili Apple preuzimanja.
Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite u članku „Korištenje PGP ključa za sigurnost Appleovih proizvoda.”
Kada je to moguće, CVE ID-ovi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o drugim sigurnosnim ažuriranjima, pročitajte članak „Appleova sigurnosna ažuriranja.”
QuickTime 7.5
QuickTime
CVE-ID: CVE-2008-1581
Dostupno za: Windows Vista, XP SP2
Učinak: otvaranje zlonamjerno stvorene datoteke PICT slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
Opis: problem vezan uz način na koji QuickTime upravlja PixData strukturama prilikom obrade PICT slike može dovesti do prekoračenja međuspremnika hrpe. Otvaranje zlonamjerno stvorene PICT slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem poboljšanom provjerom ograničenja. Ovaj problem ne utječe na sustave s operacijskim sustavom Mac OS X. Zahvaljujemo Dyonu Baldingu iz tvrtke Secunia Research na prijavi ovog problema.
QuickTime
CVE-ID: CVE-2008-1582
Dostupno za: Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 ili noviji, Windows Vista, XP SP2
Učinak: otvaranje zlonamjerno stvorenog medijskog sadržaja kodiranog AAC tehnologijom može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
Opis: postoji problem s oštećenjem memorije prilikom upravljanja medijskim sadržajem kodiranim AAC tehnologijom koje vrši QuickTime. Otvaranje zlonamjerno stvorene medijske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem dodatnom provjerom valjanosti medijskih datoteka. Zahvaljujemo Daveu Solderi iz tvrtke NGS Software i Jensu Alfkeu na prijavi ovog problema.
QuickTime
CVE-ID: CVE-2008-1583
Dostupno za: Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 ili noviji, Windows Vista, XP SP2
Učinak: otvaranje zlonamjerno stvorene datoteke PICT slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
Opis: prekoračenje međuspremnika hrpe prilikom upravljanja PICT slikama koje vrši QuickTime. Otvaranje zlonamjerno stvorene datoteke PICT slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem poboljšanom provjerom ograničenja. Zahvaljujemo Liamu O Murchu iz tvrtke Symantec na prijavi ovog problema.
QuickTime
CVE-ID: CVE-2008-1584
Dostupno za: Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 ili noviji, Windows Vista, XP SP2
Učinak: otvaranje zlonamjerno stvorenog Indeo 4 medijskog videosadržaja može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
Opis: problem u načinu na koji QuickTime upravlja sadržajem Indeo videokodeka može dovesti do prekoračenja međuspremnika. Prikazivanje filmske datoteke zlonamjerno stvorene Indeo videokodekom može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem neobrađivanjem sadržaja Indeo 4 videokodeka. Zahvaljujemo anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi ovog problema.
QuickTime
CVE-ID: CVE-2008-1585
Dostupno za: Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 ili noviji, Windows Vista, XP SP2
Učinak: zlonamjerno stvoreni sadržaj sustava QuickTime u aplikaciji QuickTime Player može uzrokovati izvršavanje proizvoljnog koda.
Opis: problem s rukovanjem URL-om prilikom upravljanja datotekom koje vrši QuickTime: URL-ovi. To može dovesti do pokretanja proizvoljnih aplikacija i datoteka kada korisnik reproducira zlonamjerno stvoreni sadržaj sustava QuickTime u aplikaciji QuickTime Player. Ovo ažuriranje rješava problem otkrivanjem datoteka u programu Finder ili Windows Explorer umjesto njihovim pokretanjem. Zahvaljujemo Vinoou Thomasu i Rahulu Mohandasu (McAfee Avert Labs) te Petku D. (pdp) Petkovu (GNUCITIZEN) koji rade na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi ovog problema.
QuickTime
CVE-ID: CVE-2008-2319
Dostupno za: Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 ili noviji, Windows Vista, XP SP2
Učinak: otvaranje zlonamjerno stvorene datoteke PICT slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
Opis: problem s proširenjem predznaka prilikom upravljanja PICT slikama koje vrši QuickTime može dovesti do prekoračenja međuspremnika hrpe. Otvaranje zlonamjerno stvorene datoteke PICT slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem tako da se vrijednost tretira kao da ne sadrži predznak. Zahvaljujemo Sergiju „shadown” Alvarezu iz tvrtke n.runs AG na prijavi ovog problema.