A QuickTime 7.1.5 biztonsági változásjegyzéke
Ez a dokumentum a QuickTime 7.1.5 biztonsági változásjegyzékét ismerteti.
Ez a dokumentum a QuickTime 7.1.5 biztonsági változásjegyzékét ismerteti, amelyet a Szoftverfrissítés beállításaiban vagy az itt tölthet le és telepíthet.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
A QuickTime 7.1.5 frissítése
QuickTime
CVE-ID: CVE-2007-0711
A következőkhöz érhető el: Windows Vista/XP/2000
Érintett terület: Az ártó szándékkal létrehozott 3GP-fájlok megtekintése egy alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Egészszám-túlcsordulási probléma lépett fel a 3GP-videofájlok QuickTime általi kezelésekor. Ha a felhasználókat egy ártó szándékkal létrehozott film megnyitására buzdítja, a támadók kiválthatják a túlcsordulást, ami egy alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezethet. A frissítés a 3GP-videofájlok további hitelesítésével hárítja el a problémát. A probléma nem érinti a Mac OS X rendszert. Köszönjük JJ Reyesnek, hogy bejelentette a problémát.
QuickTime
CVE-ID: CVE-2007-0712
A következőkhöz érhető el: Mac OS X v10.3.9 vagy újabb, Windows Vista/XP/2000
Érintett terület: Az ártó szándékkal létrehozott MIDI-fájlok megtekintése az alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Halompuffer-túlcsordulás áll fenn a QuickTime általi MIDI-fájlok kezelése során. Ha a felhasználókat ártó szándékkal létrehozott MIDI-fájl megnyitására buzdítja, akkor a támadók kiválthatják a túlcsordulást, ami egy alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezethet. A frissítés a MIDI-fájlok további ellenőrzésével hárítja el a problémát. Köszönjük Mike Price-nak (McAfee AVERT Labs), hogy bejelentette a problémát.
QuickTime
CVE-ID: CVE-2007-0713
A következőkhöz érhető el: Mac OS X v10.3.9 vagy újabb, Windows Vista/XP/2000
Érintett terület: Az ártó szándékkal létrehozott QuickTime-filmek megtekintése egy alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Halompuffer-túlcsordulás áll fenn a QuickTime által kezelt QuickTime-filmfájlok esetén. Ha a felhasználókat egy ártó szándékkal létrehozott film elérésére buzdítja, akkor a támadók kiválthatják a túlcsordulást, ami egy alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezethet. Ez a frissítés a QuickTime-filmek további hitelesítésével hárítja el a problémát. Köszönjük Mike Price-nak (McAfee AVERT Labs), Piotr Baniának és Artur Oglozának, hogy bejelentették a problémát.
QuickTime
CVE-ID: CVE-2007-0714
A következőkhöz érhető el: Mac OS X v10.3.9 vagy újabb, Windows Vista/XP/2000
Érintett terület: Az ártó szándékkal létrehozott QuickTime-filmek megtekintése egy alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Egészszám-túlcsordulás áll fenn, amikor a QuickTime kezeli az UDTA-atomokat a filmfájlokban. Ha a felhasználókat egy ártó szándékkal létrehozott film elérésére buzdítja, akkor a támadók kiválthatják a túlcsordulást, ami egy alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezethet. Ez a frissítés a QuickTime-filmek további hitelesítésével hárítja el a problémát. Köszönjük Sowhatnak (Nevis Labs) és egy névtelen kutatónak, aki a TippingPointtal és a Zero Day Initiative-vel együttműködve jelentette be a problémát.
QuickTime
CVE-ID: CVE-2007-0715
A következőkhöz érhető el: Mac OS X v10.3.9 vagy újabb, Windows Vista/XP/2000
Érintett terület: Az ártó szándékkal létrehozott PICT-fájlok megtekintése az alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Halompuffer-túlcsordulás áll fenn a QuickTime által kezelt PICT-képfájlok esetén. Ha a felhasználót egy ártó szándékkal létrehozott PICT-képfájl megnyitására buzdít, a támadó kiválthatja a túlcsordulást, ami tetszőleges programkód végrehajtásához vezethet. A frissítés a PICT-fájlok további ellenőrzésével hárítja el a problémát. Köszönjük Mike Price-nak (McAfee AVERT Labs), hogy bejelentette a problémát.
QuickTime
CVE-ID: CVE-2007-0716
A következőkhöz érhető el: Mac OS X v10.3.9 vagy újabb, Windows Vista/XP/2000
Érintett terület: Az ártó szándékkal létrehozott QTIF-fájlok megnyitása az alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Verempuffer-túlcsordulás áll fenn a QuickTime által kezelt QTIF-fájlok esetén. Azáltal, hogy a felhasználókat egy ártó szándékkal létrehozott QTIF-fájl elérésére buzdítja, a támadók kiválthatják a túlcsordulást, ami egy alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezethet. A frissítés a QTIF-fájlok további ellenőrzésével hárítja el a problémát. Köszönjük Mike Price-nak (McAfee AVERT Labs), hogy bejelentette a problémát.
QuickTime
CVE-ID: CVE-2007-0717
A következőkhöz érhető el: Mac OS X v10.3.9 vagy újabb, Windows Vista/XP/2000
Érintett terület: Az ártó szándékkal létrehozott QTIF-fájlok megnyitása az alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Egészszám-túlcsordulás áll fenn, amikor a QuickTime kezeli az QTIF-fájlokat. Azáltal, hogy a felhasználókat egy ártó szándékkal létrehozott QTIF-fájl elérésére buzdítja, a támadók kiválthatják a túlcsordulást, ami egy alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezethet. A frissítés a QTIF-fájlok további ellenőrzésével hárítja el a problémát. Köszönjük Mike Price-nak (McAfee AVERT Labs), hogy bejelentette a problémát.
QuickTime
CVE-ID: CVE-2007-0718
A következőkhöz érhető el: Mac OS X v10.3.9 vagy újabb, Windows Vista/XP/2000
Érintett terület: Az ártó szándékkal létrehozott QTIF-fájlok megnyitása az alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Halompuffer-túlcsordulás áll fenn a QuickTime által kezelt QTIF-fájlok esetén. Azáltal, hogy a felhasználókat egy ártó szándékkal létrehozott QTIF-fájl elérésére buzdítja, a támadók kiválthatják a túlcsordulást, ami egy alkalmazás összeomlásához vagy tetszőleges programkód végrehajtásához vezethet. A frissítés a QTIF-fájlok további ellenőrzésével hárítja el a problémát. Köszönjük, Ruben Santamartának az iDefense Vulnerability Contributor Programban végzett munkáját, és JJ Reyesnek, hogy bejelentette a problémát.
QuickTime
CVE-ID: CVE-2006-4965, CVE-2007-0059
A következőkhöz érhető el: Mac OS X v10.3.9 vagy újabb, Windows Vista/XP/2000
Érintett terület: Az ártó szándékkal létrehozott QuickTime-filmfájlok vagy QTL-fájlok megtekintése tetszőleges JavaScript-kód végrehajtását eredményezte a helyi tartományban.
Leírás: A QuickTime böngészőbővítményében zónák közötti szkriptelési probléma lépett fel. Ha a felhasználókat egy ártó szándékkal létrehozott QuickTime-film vagy QTL-fájl megnyitására buzdítja, akkor a támadó kiválthatja a problémát, ami tetszőleges JavaScript-kód végrehajtását eredményezte a helyi tartományban. A problémát az Apple-hibák hónapja című webhelyen ismertettük (MOAB-03-01-2007). Ez a frissítés a következő változtatásokkal hárítja el a problémát: az URL-címek kezelésének módosítása a QTL-fájlok qtnext attribútumában, illetve a QuickTime-filmekben található HREFTracksben. Csak akkor engedélyezett a „http:” és a „https:” URL-cím, ha a filmet egy távoli webhelyről töltötték be. Kizárólag a „file:” URL-címek használhatók, ha a filmet helyileg töltik be.
A QuickTime 7.1.5 Mac-verziója vagy Windows-verziója beszerezhető a Szoftverfrissítés lehetőségből, vagy manuálisan letölthető innen:http://www.apple.com/quicktime/download/.