A QuickTime 7.1.6 biztonsági változásjegyzéke

Ez a dokumentum a QuickTime 7.1.6 biztonsági változásjegyzékét ismerteti, amelyet a Szoftverfrissítés beállításaiban vagy az Apple letöltési webhelyéről tölthet le és telepíthet.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Az egyéb biztonsági frissítésekről az „Apple biztonsági frissítései” című cikkből tájékozódhat.

A QuickTime 7.1.6 frissítése

QuickTime

CVE-ID: CVE-2007-2175

A következőkhöz érhető el: Mac OS X v10.3.9, Mac OS X v10.4.9, Windows XP SP2, Windows 2000 SP4

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

Leírás: A QuickTime Java-verziójában van egy megvalósítási probléma, ami miatt a kiosztott halom határain kívülről is olvashatóvá vagy írhatóvá vált. Ha a felhasználókat egy ártó szándékkal létrehozott Java-kisalkalmazást tartalmazó webhely meglátogatására buzdítja, akkor a támadó elindíthatja a problémát, ami tetszőleges programkód végrehajtásához vezethet. Ez a frissítés azzal küszöböli ki a problémát, hogy további határérték-ellenőrzéseket hajt végre a QTPointerRef-objektumok létrehozásakor. Köszönjük Dino Dai Zovitnak, hogy a TippingPointtal és a Zero Day Initiative-vel együttműködve bejelentette a problémát.