Informazioni sul contenuto di sicurezza di QuickTime 7.3.1

In questo documento vengono descritti i contenuti di sicurezza di QuickTime 7.3.1, che possono essere scaricati tramite le preferenze per Aggiornamento Software o da Download Apple.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo “Come usare la chiave PGP per la sicurezza dei prodotti Apple”.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta “Aggiornamenti di sicurezza Apple”.

QuickTime 7.3.1

QuickTime

CVE-ID: CVE-2007-6166

Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 o versioni successive, Mac OS X v10.5 o versioni successive, Windows Vista, XP SP2

Impatto: la visualizzazione di un video RTSP dannoso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si verifica un overflow del buffer nella gestione delle intestazioni RTSP (Real Time Streaming Protocol) da parte di QuickTime. Convincendo un utente a vedere un video RTSP dannoso, un utente malintenzionato può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema assicurando che il buffer di destinazione sia dimensionato per contenere i dati.

QuickTime

CVE-ID: CVE-2007-4706

Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 o versioni successive, Mac OS X v10.5 o versioni successive, Windows Vista, XP SP2

Impatto: la visualizzazione di un file QTL dannoso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si verifica un overflow del buffer della memoria heap nella gestione dei file QTL da parte di QuickTime. Convincendo un utente a visualizzare un file QTL dannoso, un utente malintenzionato può causare la chiusura imprevista dell'applicazione o l'esecuzione di codice arbitrario. Questo aggiornamento risolve il problema attraverso un migliore controllo dei limiti.

QuickTime

CVE-ID: CVE-2007-4707

Disponibile per: Mac OS X v10.3.9, Mac OS X v10.4.9 o versioni successive, Mac OS X v10.5 o versioni successive, Windows Vista, XP SP2

Impatto: diverse vulnerabilità nel gestore di contenuti multimediali Flash di QuickTime

Descrizione: si verificano diversi problemi di vulnerabilità nel gestore di contenuti multimediali Flash di QuickTime, il più grave dei quali può causare l'esecuzione di codice arbitrario. Con questo aggiornamento, il gestore di contenuti multimediali Flash in QuickTime è disabilitato, ad eccezione di un numero limitato di filmati QuickTime esistenti che sono noti come sicuri. Ringraziamo Tom Ferris di Adobe Secure Software Engineering Team (ASSET), Mike Price di McAfee Avert Labs, i ricercatori della sicurezza Lionel d'Hauenens e Brian Mariani di Syseclabs e un ricercatore anonimo che collabora con Zero Day Initiative di TippingPoint per aver segnalato il problema.