A QuickTime 7.5.5 biztonsági változásjegyzéke
Ez a dokumentum a QuickTime 7.5.5 biztonsági változásjegyzékét ismerteti, amely szoftver a Szoftverfrissítés beállításaiban, illetve az Apple-letöltések oldalon tölthető le és telepíthető.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információt.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Az egyéb biztonsági frissítésekről az „Apple biztonsági frissítései” című cikkben olvashat.
QuickTime 7.5.5
QuickTime
CVE-azonosító: CVE-2008-3615
A következőkhöz érhető el: Windows Vista, XP SP2 és SP3
Érintett terület: Ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor.
Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma lépett fel a QuickTime külső Indeo v5 kodekjében, amely nem a QuickTime része. Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés az Indeo kodek bármely verziójával kódolt tartalmak renderelésének blokkolásával oldja meg a problémát. Ez a probléma nem érinti a Mac OS X-et futtató rendszereket. Köszönjük Paul Byrne-nak (NGSSoftware) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2008-3635
A következőkhöz érhető el: Windows Vista, XP SP2 és SP3
Érintett terület: Ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor.
Leírás: Verempuffer-túlcsordulás volt tapasztalható a QuickTime külső Indeo v5 kodekjében. Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés az Indeo kodek bármely verziójával kódolt tartalmak renderelésének blokkolásával oldja meg a problémát. Ez a probléma nem érinti a Mac OS X-et futtató rendszereket. Köszönjük egy anonim kutatónak (a TippingPoint Zero Day Initiative kezdeményezés közreműködőjének) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2008-3624
A következőhöz érhető el: Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 vagy újabb, Windows Vista, XP SP2 és SP3
Érintett terület: Ártó szándékkal létrehozott QTRV-filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor.
Leírás: Halompuffer-túlcsordulás lépett fel a panorámaatomok QuickTime általi kezelése közben a QTVR-filmfájlokban (QuickTime Virtual Reality). Az ártó szándékkal létrehozott QTVR-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtásához vezethetett. A frissítés a panorámatomok magasabb szintű határérték-ellenőrzése révén oldja meg a problémát. Köszönjük Roee Haynek (IBM Rational Application Security Research Group) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2008-3625
A következőhöz érhető el: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 vagy újabb, Windows Vista, XP SP2 és SP3
Érintett terület: Ártó szándékkal létrehozott QTVR-filmfájlok megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor.
Leírás: Verempuffer-túlcsordulás lépett fel a panorámaatomok QuickTime általi kezelése közben a QTVR-filmfájlokban (QuickTime Virtual Reality). Az ártó szándékkal létrehozott QTVR-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtásához vezethetett. A frissítés a panorámatomok magasabb szintű határérték-ellenőrzése révén oldja meg a problémát. Köszönjük egy anonim kutatónak (aki a TippingPoint Zero Day Initiative kezdeményezésében vesz részt) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2008-3614
A következőkhöz érhető el: Windows Vista, XP SP2 és SP3
Érintett terület: Ártó szándékkal létrehozott PICT-képek megnyitásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor.
Leírás: Egészszám-túlcsordulás következett be a PICT-képek kezelése során. Előfordulhatott, hogy az ártó szándékkal létrehozott PICT-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés a PICT-képek további ellenőrzésével hárítja el a problémát. Köszönjük egy anonim kutatónak (aki a iDefense VCP tagja) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2008-3626
A következőhöz érhető el: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 vagy újabb, Windows Vista, XP SP2 és SP3
Érintett terület: Ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor.
Leírás: Memóriasérülési hiba lépett fel az STSZ-atomok filmfájlokban történő, QuickTime általi kezelése során. Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés az STSZ-atomok hatékonyabb határérték-ellenőrzésével hárítja el a problémát. Köszönjük egy anonim kutatónak (aki a TippingPoint Zero Day Initiative kezdeményezésében vesz részt) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2008-3627
A következőhöz érhető el: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 vagy újabb, Windows Vista, XP SP2 és SP3
Érintett terület: Ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor.
Leírás: Több memóriasérülés fordult elő a H.264-kódolású filmfájlok QuickTime általi kezelése során. Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés a H.264-kódolású filmfájlok további ellenőrzésével hárítja el a problémát. Köszönjük egy anonim kutatónak és a Subreption LLC-nek (TippingPoint Zero Day Initiative kezdeményezés) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2008-3628
A következőkhöz érhető el: Windows Vista, XP SP2 és SP3
Érintett terület: Az ártó szándékkal létrehozott PICT-képek megnyitásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor.
Leírás: Egy érvénytelen mutatóhoz kapcsolódó hiba következett be a PICT-képek QuickTime általi kezelése során. Előfordulhatott, hogy az ártó szándékkal létrehozott PICT-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A frissítés egy globális változó megfelelő mentése és helyreállítása révén kezeli a problémát. Ez a probléma nem érinti a Mac OS X-et futtató rendszereket. Köszönjük David Whartonnak a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2008-3629
A következőhöz érhető el: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 vagy újabb, Windows Vista, XP SP2 és SP3
Érintett terület: Az ártó szándékkal létrehozott PICT-képek megnyitásakor váratlan alkalmazásleállásra kerülhetett sor.
Leírás: Határérték-olvasási hiba lépett fel a PICT-képek QuickTime általi kezelése során. Ártó szándékkal létrehozott PICT-képek megtekintése esetén váratlan alkalmazásleállásra kerülhetett sor. Ez a frissítés a PICT-képek további ellenőrzésével hárítja el a problémát. Köszönjük Sergio „shadown” Alvareznek (n.runs AG) a probléma jelentését.
Fontos: A nem az Apple által gyártott termékekre vonatkozó információk kizárólag tájékoztató célt szolgálnak, és nem jelentik az Apple általi ajánlásukat vagy jóváhagyásukat. Forduljon a gyártóhoz további információkért.