A QuickTime 7.3.1 biztonsági tartalma

Ez a dokumentum a QuickTime 7.3.1 biztonsági tartalmát ismerteti, amely a Szoftverfrissítés beállításaiban vagy az Apple-letöltések oldalon tölthető le és telepíthető.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál tájékoztatást.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkben olvashat.

QuickTime 7.3.1

QuickTime

CVE-azonosító: CVE-2007-6166

A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X 10.4.9 vagy újabb, Mac OS X 10.5 vagy újabb, Windows Vista, XP SP2

Érintett terület: Előfordulhat, hogy az ártó szándékkal létrehozott RTSP-filmek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerül sor.

Leírás: A QuickTime Real Time Streaming Protocol- (RTSP-) fejléceiben puffertúlcsordulás tapasztalható. Ha egy támadó egy ártó szándékkal létrehozott RTSP-film megtekintésére veszi rá a felhasználót, váratlan alkalmazásleállást vagy tetszőleges programkód végrehajtását okozhatja. A frissítés úgy szünteti meg a problémát, hogy a célpuffert úgy méretezik, hogy az már tartalmazza az adatokat.

QuickTime

CVE-azonosító: CVE-2007-4706

A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X 10.4.9 vagy újabb, Mac OS X 10.5 vagy újabb, Windows Vista, XP SP2

Érintett terület: Előfordulhat, hogy az ártó szándékkal létrehozott QTL-feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezet.

Leírás: Halompuffer-túlcsordulás áll fenn a QuickTime-ban a QTL-fájlok kezelésében. Ha egy támadó egy ártó szándékkal létrehozott QTL-fájl megtekintésére veszi rá a felhasználót, váratlan alkalmazásleállást vagy tetszőleges programkód végrehajtását okozhatja. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát.

QuickTime

CVE-azonosító: CVE-2007-4707

A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X 10.4.9 vagy újabb, Mac OS X 10.5 vagy újabb, Windows Vista, XP SP2

Érintett terület: Több biztonsági rés található a QuickTime Flash-médiakezelőjében

Leírás: A QuickTime Flash-médiakezelője több biztonsági réssel rendelkezik, amelyek közül a legsúlyosabb tetszőleges programkód végrehajtására adhat lehetőséget. Ez a frissítés letiltja a QuickTime Flash-médiakezelőjét, kivéve néhány meglévő QuickTime-film esetén, amelyekről biztosan tudjuk, hogy biztonságosak. A probléma bejelentéséért köszönet jár Tom Ferrisnek (Adobe Secure Software Engineering Team, ASSET), Mike Price-nak (McAfee Avert Labs), Lionel d'Hauenens és Brian Mariani (Syseclabs) biztonsági kutatóknak, valamint egy anonim kutatónak, aki a TippingPoint Zero Day Initiative kezdeményezésével dolgozik.