A QuickTime 7.5 biztonsági változásjegyzéke

Ez a dokumentum a QuickTime 7.5 biztonsági változásjegyzékét ismerteti, amely szoftver a Szoftverfrissítés beállításaiban, illetve az Apple-letöltések oldalon tölthető le és telepíthető.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információt.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Az egyéb biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

QuickTime 7.5

QuickTime

CVE-azonosító: CVE-2008-1581

A következőkhöz érhető el: Windows Vista, XP SP2

Érintett terület: Az ártó szándékkal létrehozott PICT-képfájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Ha a QuickTime hibásan kezelte a PixData-struktúrákat a PICT-képek feldolgozásakor, akkor puffertúlcsordulás következhetett be a halommemóriában. Előfordulhatott, hogy az ártó szándékkal létrehozott PICT-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Ez a probléma nem érinti a Mac OS X-et futtató rendszereket. Köszönjük Dyon Baldingnek (Secunia Research) a probléma jelentését.

QuickTime

CVE-azonosító: CVE-2008-1582

A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 vagy újabb, Windows Vista, XP SP2

Érintett terület: Előfordulhatott, hogy az ártó szándékkal létrehozott AAC-kódolású médiatartalmak megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

Leírás: Memóriasérülési hiba történhetett az AAC-kódolású médiatartalmak QuickTime általi kezelésekor. Érintett terület: Előfordulhatott, hogy az ártó szándékkal létrehozott médiafájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A frissítés a médiafájlok további ellenőrzésével hárítja el a problémát. Köszönjük Dave Solderának (NGS Software) és Jens Alfkénak a probléma jelentését.

QuickTime

CVE-azonosító: CVE-2008-1583

A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 vagy újabb, Windows Vista, XP SP2

Érintett terület: Az ártó szándékkal létrehozott PICT-képfájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: Halommemória-puffertúlcsordulást okozó hiba fordulhatott elő a PICT-képek QuickTime általi kezelésekor. Előfordulhatott, hogy az ártó szándékkal létrehozott PICT-képfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Köszönjük Liam O Murchunak (Symantec) a probléma jelentését.

QuickTime

CVE-azonosító: CVE-2008-1584

A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 vagy újabb, Windows Vista, XP SP2

Érintett terület: Az ártó szándékkal létrehozott Indeo 4-videótartalmak megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethetett.

Leírás: Ha a QuickTime hibásan kezelte az Indeo videókodeket használó tartalmakat, akkor puffertúlcsordulás következhetett be a halommemóriában. Előfordulhatott, hogy az ártó szándékkal létrehozott, Indeo videókodeket használó filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés úgy hárítja el a problémát, hogy nem jeleníti meg az Indeo 4 videókodekkel készült tartalmakat. Köszönjük egy anonim kutatónak (aki a TippingPoint Zero Day Initiative kezdeményezésében vesz részt) a probléma jelentését.

QuickTime

CVE-azonosító: CVE-2008-1585

A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 vagy újabb, Windows Vista, XP SP2

Érintett terület: Előfordulhatott, hogy az ártó szándékkal létrehozott QuickTime-tartalmak QuickTime Playerben való lejátszása tetszőleges programkód végrehajtásához vezetett.

Leírás: URL-kezelési hiba merült fel a QuickTime által a file: előtaggal kezdődő URL-címek kezelésekor. Ez tetszőleges alkalmazások és fájlok indítását tehette lehetővé, amikor a felhasználó ártó szándékkal létrehozott QuickTime-tartalmakat játszott le a QuickTime Playerben. Ez a frissítés azzal küszöböli ki a problémát, hogy a Finderben vagy a Windows Intézőben jeleníti meg a fájlokat, és nem indítja el őket. Köszönjük Vinoo Thomasnak és Rahul Mohandasnak (McAfee Avert Labs), valamint Petko D. (pdp) Petkovnak (GNUCITIZEN, a TippingPoint Zero Day Initiative kezdeményezésének közreműködője) a probléma jelentéséért.

QuickTime

CVE-azonosító: CVE-2008-2319

A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 vagy újabb, Windows Vista, XP SP2

Érintett terület: Az ártó szándékkal létrehozott PICT-képfájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget.

Leírás: A PICT-képek QuickTime általi kezelésével kapcsolatos előjel-kiterjesztési probléma puffertúlcsordulást eredményezhetett a halommemóriában. Előfordulhatott, hogy az ártó szándékkal létrehozott PICT-képfájlok megnyitása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés úgy küszöböli ki a problémát, hogy az értéket előjel nélküliként kezeli. Köszönjük Sergio „shadown” Alvareznek (n.runs AG) a probléma jelentését.