QuickTime 7.5 のセキュリティコンテンツについて
QuickTime 7.5 のセキュリティコンテンツについて説明します。このセキュリティコンテンツは、システム環境設定の「ソフトウェアアップデート」または Apple の「ダウンロード」ページからダウンロードしてインストールできます。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。
Apple Product Security PGP キーについては、こちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
QuickTime 7.5
QuickTime
CVE-ID:CVE-2008-1581
対象 OS:Windows Vista、XP SP2
影響:悪意を持って作成された PICT 画像ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:PICT 画像を処理する際の QuickTime による PixData 構造の処理に問題があり、ヒープバッファオーバーフローが発生する可能性があります。悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題は、Mac OS X を搭載しているシステムでは発生しません。この問題の報告は、Secunia Research の Dyon Balding 氏の功績によるものです。
QuickTime
CVE-ID:CVE-2008-1582
対象 OS:Mac OS X v10.3.9、Mac OS X v10.4.9 - v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2
影響:悪意を持って作成された AAC エンコードのメディアコンテンツを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:QuickTime による AAC エンコードのメディアコンテンツの処理に、メモリ破損の脆弱性が存在します。悪意を持って作成されたメディアファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、メディアファイルの検証を強化することで問題が解消されています。この問題の報告は、NGS Software の Dave Soldera 氏、および Jens Alfke 氏の功績によるものです。
QuickTime
CVE-ID:CVE-2008-1583
対象 OS:Mac OS X v10.3.9、Mac OS X v10.4.9 - v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2
影響:悪意を持って作成された PICT 画像ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:QuickTime による PICT 画像の処理に、ヒープバッファオーバーフローが発生します。悪意を持って作成された PICT 画像ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、Symantec の Liam O Murchu 氏の功績によるものです。
QuickTime
CVE-ID:CVE-2008-1584
対象 OS:Mac OS X v10.3.9、Mac OS X v10.4.9 - v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2
影響:悪意を持って作成された Indeo 4 ビデオメディアコンテンツを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:QuickTime による Indeo ビデオコーデックコンテンツの処理に問題があり、スタックバッファがオーバーフローする可能性があります。悪意を持って作成された、Indeo ビデオコーデックコンテンツを含むムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、Indeo 4 ビデオコーデックコンテンツをレンダリングしないことで問題が解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する匿名の研究者の功績によるものです。
QuickTime
CVE-ID:CVE-2008-1585
対象 OS:Mac OS X v10.3.9、Mac OS X v10.4.9 - v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2
影響:悪意を持って作成された QuickTime コンテンツを QuickTime Player で再生すると、任意のコードが実行される可能性があります。
説明:QuickTime による file: URL の処理に URL 処理の問題があります。これにより、悪意を持って作成された QuickTime コンテンツをユーザが QuickTime Player で再生すると、任意のアプリケーションやファイルがされる場合があります。このアップデートでは、ファイルを起動するのではなく、Finder や Windows Explorer にファイルを表示することで問題が解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する McAfee Avert Labs の Vinoo Thomas 氏および Rahul Mohandas 氏、GNUCITIZEN の Petko D. (pdp) Petkov 氏の功績によるものです。
QuickTime
CVE-ID:CVE-2008-2319
対象 OS:Mac OS X v10.3.9、Mac OS X v10.4.9 - v10.4.11、Mac OS X v10.5 以降、Windows Vista、XP SP2
影響:悪意を持って作成された PICT 画像ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:QuickTime による PICT 画像の処理に符号拡張の問題があるため、ヒープバッファオーバーフローが発生する可能性があります。悪意を持って作成された PICT 画像ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、値を未署名として扱うことで問題が解消されています。この問題の報告は、n.runs AG の Sergio 'shadown' Alvarez 氏の功績によるものです。