A QuickTime 7.3 biztonsági változásjegyzéke
Ez a dokumentum a QuickTime 7.3 biztonsági változásjegyzékét ismerteti, amelyet a Szoftverfrissítés segítségével vagy a Apple letöltési webhelyéről tölthet le és telepíthet.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Az egyéb biztonsági frissítésekről az Apple biztonsági frissítések című cikkből tájékozódhat.
QuickTime 7.3
QuickTime
CVE-ID: CVE-2007-2395
A következőkhöz érhető el: Mac OS X v10.3.9, Mac OS X v10.4.9 vagy újabb, Mac OS X v10.5, Windows Vista, XP SP2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Egy memóriasérülési probléma áll fenn a QuickTime képleíró atomjainak kezelésében. Ha egy ártó szándékkal létrehozott filmfájl megnyitására buzdít egy felhasználót, akkor a támadó váratlan alkalmazásleállást okozhat vagy tetszőleges programkódot hajthat végre. A frissítés a QuickTime-képleírások további ellenőrzésével hárítja el a problémát. Köszönjük Dylan Ashe-nek (Adobe Systems Incorporated), hogy bejelentette a problémát.
QuickTime
CVE-ID: CVE-2007-3750
A következőkhöz érhető el: Mac OS X v10.3.9, Mac OS X v10.4.9 vagy újabb, Mac OS X v10.5, Windows Vista, XP SP2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Halompuffer-túlcsordulás áll fenn a QuickTime Playernél a Sample Table Sample Descriptor (STSD) atomok kezelése során. Ha egy ártó szándékkal létrehozott filmfájl megnyitására buzdít egy felhasználót, akkor a támadó váratlan alkalmazásleállást okozhat vagy tetszőleges programkódot hajthat végre. A frissítés az STSD-atomok további ellenőrzésével hárítja el a problémát. Köszönjük Tobias Kleinnek (www.trapkit.de), hogy bejelentette a problémát.
QuickTime
CVE-ID: CVE-2007-3751
A következőkhöz érhető el: Mac OS X v10.3.9, Mac OS X v10.4.9 vagy újabb, Mac OS X v10.5, Windows Vista, XP SP2
Érintett terület: A nem megbízható Java-kisalkalmazások magasabb jogosultságokat kaphattak.
Leírás: Több biztonsági rés is található a QuickTime for Java alkalmazásban, ami lehetővé teheti a nem megbízható Java-kisalkalmazások számára, hogy magasabb szintű jogosultságokat kapjanak. Ha egy ártó szándékkal létrehozott Java-kisalkalmazást tartalmazó weboldal meglátogatására buzdít egy felhasználót, akkor a támadó kiszivárogtathatja a bizalmas adatokat, és tetszőleges programkódot hajthat végre, magasabb jogosultságokkal. Ez a frissítés azáltal szünteti meg a problémákat, hogy a QuickTime Java verziója nem érhető el a nem megbízható Java-kisalkalmazások számára. Köszönjük Adam Gowdiaknak, hogy bejelentette a problémát.
QuickTime
CVE-ID: CVE-2007-4672
A következőkhöz érhető el: Mac OS X v10.3.9, Mac OS X v10.4.9 vagy újabb, Mac OS X v10.5, Windows Vista, XP SP2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PICT-képek megnyitása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: A PICT képfeldolgozás során verempuffer-túlcsordulás áll fenn. Ha egy ártó szándékkal létrehozott fénykép megnyitására buzdít egy felhasználót, akkor a támadó váratlan alkalmazásleállást okozhat vagy tetszőleges programkódot hajthat végre. A frissítés a PICT-fájlok további ellenőrzésével hárítja el a problémát. Köszönjük Ruben Santamartának (reversemode.com), hogy a TippingPointtal és a Zero Day Initiative-val együttműködve bejelentette a problémát.
QuickTime
CVE-ID: CVE-2007-4676
A következőkhöz érhető el: Mac OS X v10.3.9, Mac OS X v10.4.9 vagy újabb, Mac OS X v10.5, Windows Vista, XP SP2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PICT-képek megnyitása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Halompuffer-túlcsordulás áll fenn a PICT képfeldolgozás során. Ha egy ártó szándékkal létrehozott fénykép megnyitására buzdít egy felhasználót, akkor a támadó váratlan alkalmazásleállást okozhat vagy tetszőleges programkódot hajthat végre. A frissítés a PICT-fájlok további ellenőrzésével hárítja el a problémát. Köszönjük Ruben Santamartának (reversemode.com), hogy a TippingPointtal és a Zero Day Initiative-val együttműködve bejelentette a problémát.
QuickTime
CVE-ID: CVE-2007-4675
A következőkhöz érhető el: Mac OS X v10.3.9, Mac OS X v10.4.9 vagy újabb, Mac OS X v10.5, Windows Vista, XP SP2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott QTVR-filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Halompuffer-túlcsordulás áll fenn a QuickTime által a QTVR (QuickTime Virtual Reality) filmfájlokban tárolt mintaatomok kezelésében. Ha egy ártó szándékkal létrehozott QTVR-fájl megtekintésére buzdít egy felhasználót, akkor a támadó váratlan alkalmazásleállást okozhat vagy tetszőleges programkódot hajthat végre. A frissítés a panorámaminta-atomok további ellenőrzésével hárítja el a problémát. Köszönjük Mario Ballanónak (48bits.com), hogy a VeriSign iDefense VCP-vel együttműködve bejelentette a problémát.
QuickTime
CVE-ID: CVE-2007-4677
A következőkhöz érhető el: Mac OS X v10.3.9, Mac OS X v10.4.9 vagy újabb, Mac OS X v10.5, Windows Vista, XP SP2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Halompuffer-túlcsordulás áll fenn a színtáblázat atomjának elemzésekor, a filmfájl megnyitása közben. Ha egy ártó szándékkal létrehozott filmfájl megnyitására buzdít egy felhasználót, akkor a támadó váratlan alkalmazásleállást okozhat vagy tetszőleges programkódot hajthat végre. A frissítés az színtáblázat atomjainak további ellenőrzésével hárítja el a problémát. Köszönjük: Ruben Santamartának (reversemode.com) és Mario Ballanónak (48bits.com), hogy a TippingPointtal és a Zero Day Initiative-val együttműködve bejelentették a problémát.
QuickTime
CVE-ID: CVE-2007-4674
A következőkhöz érhető el: Mac OS X v10.3.9, Mac OS X v10.4.9 vagy újabb, Mac OS X v10.5, Windows Vista, XP SP2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: A QuickTime egyes filmfájlok atomjainak kezelésekor egészszámmal kapcsolatos aritmetikai probléma lép fel, ami puffertúlcsordulást okozhat. Ha egy ártó szándékkal létrehozott filmfájl megnyitására buzdít egy felhasználót, akkor a támadó váratlan alkalmazásleállást okozhat vagy tetszőleges programkódot hajthat végre. A frissítés az atomhosszúságú mezők hatékonyabb kezelésével hárítja el a problémát. Köszönet Cody Pierce-nek (TippingPoint DVLabs), hogy bejelentette a problémát.
Fontos: A nem az Apple által gyártott termékekre vonatkozó információk kizárólag tájékoztató jellegűek, és nem tekinthetők az Apple javaslatainak vagy ajánlásainak. További információkért vegye fel a kapcsolatot a gyártóval.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.