A QuickTime 7.6.2 biztonsági változásjegyzéke
Ez a dokumentum a QuickTime 7.6.2 biztonsági változásjegyzékét ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcsának használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
QuickTime 7.6.2
QuickTime
CVE-azonosító: CVE-2009-0188
A következőhöz érhető el: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista és XP SP3
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Memóriasérülés fordult elő, amikor a QuickTime Sorenson 3 kódolású videófájlokat kezelt. Ez váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethetett. Ez a frissítés a Sorenson 3-videófájlok további ellenőrzésével hárítja el a problémát. Köszönjük Carsten Eiramnak (Secunia Research) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2009-0951
A következőhöz érhető el: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista és XP SP3
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott FLC tömörítésű fájlok megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Halompuffer-túlcsordulás fordult elő az FLC tömörítésű fájlok kezelésekor. Az ártó szándékkal létrehozott FLC tömörítésű fájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Köszönjük egy anonim kutatónak (aki a TippingPoint Zero Day Initiative kezdeményezésében vesz részt) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2009-0952
A következőhöz érhető el: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista és XP SP3
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PSD-képek megnyitásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Halompuffer-túlcsordulás fordult elő a tömörített PSD-képek kezelésekor. Az ártó szándékkal létrehozott tömörített PSD-fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethetett. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Köszönjük Damian Putnak (aki a TippingPoint Zero Day Initiative kezdeményezésében vesz részt) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2009-0010
A következőkhöz érhető el: Windows Vista és XP SP3
Érintett terület: Előfordulhatott, hogy az ártó szándékkal létrehozott PICT-képek megnyitásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: A PICT-képek QuickTime általi kezelése során bekövetkező egészszám-alulcsordulás halompuffer-túlcsordulást idézhetett elő. Az ártó szándékkal létrehozott PICT-fájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget. Ez a frissítés a PICT-képek további ellenőrzésével hárítja el a problémát. Köszönet Sebastian Apeltnek (aki a TippingPoint Zero Day Initiative kezdeményezésében vesz részt) és Chris Riesnek (Carnegie Mellon University Computing Services), hogy jelentették ezt a problémát.
QuickTime
CVE-azonosító: CVE-2009-0953
A következőhöz érhető el: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista és XP SP3
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PICT-képek megnyitásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Halompuffer-túlcsordulás fordult elő, amikor a QuickTime PICT-képeket kezelt. Az ártó szándékkal létrehozott PICT-fájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget. Ez a frissítés a PICT-képek további ellenőrzésével hárítja el a problémát. Köszönjük Sebastian Apeltnek (aki a TippingPoint Zero Day Initiative kezdeményezésében vesz részt) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2009-0954
A következőhöz érhető el: Windows Vista és XP SP3
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok megnyitásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Halompuffer-túlcsordulás fordult elő, amikor a QuickTime Clipping Region- (CRGN-) atomtípusokat kezelt a videófájlokban. Az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Ez a probléma nem érinti a Mac OS X rendszert. Köszönjük egy anonim kutatónak (aki a TippingPoint Zero Day Initiative kezdeményezésében vesz részt) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2009-0185
A következőhöz érhető el: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista és XP SP3
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Halompuffer-túlcsordulás fordult elő az MS ADPCM tömörítésű hangadatok kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Köszönjük Alin Rad Popnak (Secunia Research), hogy bejelentette a problémát.
QuickTime
CVE-azonosító: CVE-2009-0955
A következőhöz érhető el: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista és XP SP3
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Előjel-kibővítési hiba fordult elő a QuickTime-ban a képleíró atomok kezelésekor. Az ártó szándékkal létrehozott Apple-videófájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor. Ez a frissítés a leíróatomok hatékonyabb ellenőrzésével hárítja el a problémát. Köszönjük Roee Haynek (IBM Rational Application Security Research Group) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2009-0956
A következőhöz érhető el: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista és XP SP3
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott felhasználói adatatomokat tartalmazó videófájlok megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Nem inicializált memória-hozzáférési hiba fordult elő, amikor a QuickTime videófájlokat kezelt. Nulla adatatommérettel rendelkező videófájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethetett. Ez a frissítés a videófájlok további ellenőrzésével küszöböli ki a hibát, és egy figyelmeztető párbeszédablakot jelenít meg a felhasználónak. Köszönjük Lurene Greniernek (Sourcefire, Inc. VRT) a probléma jelentését.
QuickTime
CVE-azonosító: CVE-2009-0957
A következőhöz érhető el: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista és XP SP3
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott JP2-képek megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Halompuffer-túlcsordulás fordult elő, amikor a QuickTime JP2-képeket kezelt. Előfordult, hogy az ártó szándékkal létrehozott JP2-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Köszönjük Charlie Millernek (Independent Security Evaluators) és Damian Putnak (akik a TippingPoint Zero Day Initiative kezdeményezésében vesznek részt) a probléma jelentését.
Fontos: A nem az Apple által gyártott termékekre vonatkozó információk kizárólag tájékoztató célt szolgálnak, és nem jelentik az Apple általi ajánlásukat vagy jóváhagyásukat. További információkért vegye fel a kapcsolatot a gyártóval.