QuickTime 7.7 のセキュリティコンテンツについて

QuickTime 7.7 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらの記事を参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

QuickTime 7.7

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成された pict ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

  • 説明：QuickTime による pict ファイルの処理で、バッファオーバーフローの脆弱性がありました。悪意を持って作成された PICT ファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。Mac OS X v10.6 システムについては、Mac OS X v10.6.8 でこの問題が解決されています。この問題は OS X Lion システムでは発生しません。

  • CVE-ID

  • CVE-2011-0245：TippingPoint の Zero Day Initiative に協力する Subreption LLC

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

    影響：悪意を持って作成された JPEG2000 画像を QuickTime で表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性がある。

  • 説明：QuickTime による JPEG2000 画像の処理に、メモリ破損の原因となる問題が複数ありました。悪意を持って作成された JPEG2000 画像を QuickTime で表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。Mac OS X v10.6 システムについては、Mac OS X v10.6.7 でこの問題が解決されています。この問題は OS X Lion システムでは発生しません。

  • CVE-ID

  • CVE-2011-0186：CERT/CC の Will Dormann 氏

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成された Web サイトにアクセスすると、ほかのサイトのビデオデータが漏洩する可能性がある。

  • 説明：QuickTime によるクロスサイトリダイレクトの処理には、クロスオリジンの脆弱性がありました。悪意を持って作成された Web サイトにアクセスすると、ほかのサイトのビデオデータが漏洩する可能性があります。この問題は、QuickTime がクロスサイトのリダイレクトに従ってアクセスしないようにすることで解消されています。Mac OS X v10.6 システムについては、Mac OS X v10.6.7 でこの問題が解決されています。この問題は OS X Lion システムでは発生しません。

  • CVE-ID

  • CVE-2011-0187：Nirankush Panchbhai 氏および Microsoft Vulnerability Research (MSVR)

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成された WAV ファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性がある。

  • 説明：QuickTime の RIFF WAV ファイルの処理に、整数オーバーフローの脆弱性がありました。悪意を持って作成された WAV ファイルを再生すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。Mac OS X v10.6 システムについては、Mac OS X v10.6.8 でこの問題が解決されています。この問題は OS X Lion システムでは発生しません。

  • CVE-ID

  • CVE-2011-0209：TippingPoint の Zero Day Initiative に協力する Luigi Auriemma 氏

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

  • 説明：QuickTime による QuickTime ムービーファイルのサンプルテーブルの処理に、メモリ破損の原因となる問題がありました。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。Mac OS X v10.6 システムについては、Mac OS X v10.6.8 でこの問題が解決されています。この問題は OS X Lion システムでは発生しません。

  • CVE-ID

  • CVE-2011-0210：Fortinet の FortiGuard Labs の Honggang Ren 氏

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

  • 説明：QuickTime によるムービーファイルのオーディオチャンネルの処理に、整数オーバーフローの脆弱性がありました。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。Mac OS X v10.6 システムについては、Mac OS X v10.6.8 でこの問題が解決されています。この問題は OS X Lion システムでは発生しません。

  • CVE-ID

  • CVE-2011-0211：TippingPoint の Zero Day Initiative に協力する Luigi Auriemma 氏

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成された JPEG ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

  • 説明：JPEG ファイルの処理にバッファオーバーフローの脆弱性がありました。悪意を持って作成された JPEG ファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。Mac OS X v10.6 システムについては、Mac OS X v10.6.8 でこの問題が解決されています。この問題は OS X Lion システムでは発生しません。

  • CVE-ID

  • CVE-2011-0213：iDefense VCP に協力する Luigi Auriemma 氏

• QuickTime

  • 対象 OS：Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成された GIF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

  • 説明：QuickTime による GIF 画像の処理に、ヒープバッファオーバーフローの脆弱性がありました。悪意を持って作成された GIF 画像を表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は Mac OS X システムでは発生しません。

  • CVE-ID

  • CVE-2011-0246：Beyond Security の SecuriTeam Secure Disclosure プログラムに協力する匿名の貢献者

• QuickTime

  • 対象 OS：Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成された H.264 ムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。

  • 説明：H.264 エンコードされたムービーファイルの処理に、複数のスタックバッファオーバーフローの脆弱性がありました。悪意を持って作成された H.264 ムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は Mac OS X システムでは発生しません。

  • CVE-ID

  • CVE-2011-0247：TippingPoint の Zero Day Initiative に協力する Roi Mallo 氏および Sherab Giovannini 氏

• QuickTime

  • 対象 OS：Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成された Web サイトに Internet Explorer を使ってアクセスすると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。

  • 説明：QuickTime ActiveX コントロールの QTL ファイルの処理に、スタックバッファオーバーフローの脆弱性がありました。悪意を持って作成された Web サイトに Internet Explorer を使ってアクセスすると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は Mac OS X システムでは発生しません。

  • CVE-ID

  • CVE-2011-0248：TippingPoint の Zero Day Initiative に協力する Chkr_d591 氏

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

  • 説明：QuickTime ムービーファイルの STSC アトムを処理した場合に、ヒープバッファオーバーフローが発生します。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は OS X Lion システムでは発生しません。

  • CVE-ID

  • CVE-2011-0249：TippingPoint の Zero Day Initiative に協力する Matt 'j00ru' Jurczyk 氏

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

  • 説明：QuickTime ムービーファイルの STSS アトムを処理した場合に、ヒープバッファオーバーフローの脆弱性がありました。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は OS X Lion システムでは発生しません。

  • CVE-ID

  • CVE-2011-0250：TippingPoint の Zero Day Initiative に協力する Matt 'j00ru' Jurczyk 氏

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

  • 説明：QuickTime ムービーファイルの STSZ アトムを処理した場合に、ヒープバッファオーバーフローの脆弱性がありました。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は OS X Lion システムでは発生しません。

  • CVE-ID

  • CVE-2011-0251：TippingPoint の Zero Day Initiative に協力する Matt 'j00ru' Jurczyk 氏

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

  • 説明：QuickTime ムービーファイルの STTS アトムを処理した場合に、ヒープバッファオーバーフローの脆弱性がありました。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は OS X Lion システムでは発生しません。

  • CVE-ID

  • CVE-2011-0252：TippingPoint の Zero Day Initiative に協力する Matt 'j00ru' Jurczyk 氏

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成された PICT ファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

  • 説明：PICT ファイルの処理にスタックバッファオーバーフローの脆弱性がありました。悪意を持って作成された PICT ファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。この問題は Mac OS X v10.7 システムでは発生しません。

  • CVE-ID

  • CVE-2011-0257：TippingPoint の Zero Day Initiative に協力する Matt 'j00ru' Jurczyk 氏

• QuickTime

  • 対象となるバージョン：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 以降

    影響：悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

  • 説明：QuickTimeムービーファイルのトラック実行アトムを処理した場合に、整数のオーバーフローの脆弱性がありました。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。Mac OS X v10.6 システムについては、Mac OS X v10.6.8 でこの問題が解決されています。この問題は Mac OS X v10.7 システムでは発生しません。

  • CVE-ID

  • CVE-2011-0256：TippingPoint の Zero Day Initiative に協力する匿名の研究者

• QuickTime

  • 対象 OS：Windows 7、Vista、XP SP2 以降

  • 影響：悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

  • 説明：QuickTime ムービーファイルの画像説明の処理に、メモリ破損の原因となる問題がありました。この問題は Mac OS X システムでは発生しません。

  • CVE-ID

  • CVE-2011-0258：TippingPoint の Zero Day Initiative に協力する Damian Put 氏