QuickTime 7.6.2 のセキュリティコンテンツについて

QuickTime 7.6.2 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

QuickTime 7.6.2

• QuickTime

  CVE-ID：CVE-2009-0188

  対象となるバージョン：Mac OS X v10.4.11、Mac OS X v10.5.7、Windows Vista および XP SP3

  影響：悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

  説明：QuickTime による Sorenson 3 ビデオファイルの処理時にメモリ破損が引き起こされ、これにより、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、Sorenson 3 ビデオファイルの追加の検証を行うことで問題が解消されています。この問題の報告は、Secunia Research の Carsten Eiram 氏の功績によるものです。

• QuickTime

  CVE-ID：CVE-2009-0951

  対象となるバージョン：Mac OS X v10.4.11、Mac OS X v10.5.7、Windows Vista および XP SP3

  影響：悪意を持って作成された FLC 圧縮ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

  説明：FLC 圧縮ファイルの処理時に、ヒープバッファオーバフローが引き起こされる可能性があります。悪意を持って作成された FLC 圧縮ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする場合があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する匿名の研究者の功績によるものです。

• QuickTime

  CVE-ID：CVE-2009-0952

  対象となるバージョン：Mac OS X v10.4.11、Mac OS X v10.5.7、Windows Vista および XP SP3

  影響：悪意を持って作成された PSD 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

  説明：圧縮 PSD 画像の処理時に、バッファオーバーフローが発生する場合があります。悪意を持って作成された圧縮 PSD ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する Damian Put 氏の功績によるものです。

• QuickTime

  CVE-ID：CVE-2009-0010

  対象となるバージョン：Windows Vista および XP SP3

  影響：悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

  説明：QuickTime による PICT 画像の処理時に、整数アンダーフローが発生し、ヒープバッファオーバーフローが引き起こされる可能性があります。悪意を持って作成された PICT ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする場合があります。このアップデートでは、PICT 画像の検証を強化することで問題が解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する Sebastian Apelt 氏、およびカーネギーメロン大学コンピューティングサービスの Chris Ries 氏の功績によるものです。

• QuickTime

  CVE-ID：CVE-2009-0953

  対象となるバージョン：Mac OS X v10.4.11、Mac OS X v10.5.7、Windows Vista および XP SP3

  影響：悪意を持って作成された PICT 画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

  説明：QuickTime による PICT 画像の処理時に、ヒープバッファオーバフローが引き起こされる可能性があります。悪意を持って作成された PICT ファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする場合があります。このアップデートでは、PICT 画像の検証を強化することで問題が解消されています。この問題の報告は、TippingPoint の Zero Day Initiative に協力する Sebastian Apelt 氏の功績によるものです。

• QuickTime

  CVE-ID：CVE-2009-0954

  対象となるバージョン：Windows Vista および XP SP3

  影響：悪意を持って作成されたムービーファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

  説明：ムービーファイルの Clipping Region (CRGN) アトムタイプを QuickTime が処理する際に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成されたムービーファイルを開くと、アプリケーションが突然終了したり、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題は Mac OS X システムでは発生しません。この問題の報告は、TippingPoint の Zero Day Initiative に協力する匿名の研究者の功績によるものです。

• QuickTime

  CVE-ID：CVE-2009-0185

  対象となるバージョン：Mac OS X v10.4.11、Mac OS X v10.5.7、Windows Vista および XP SP3

  影響：悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

  説明：MS ADPCM でエンコードされたオーディオデータの処理時に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成されたムービーファイルを表示すると、アプリケーションが突然終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、Secunia Research の Alin Rad Pop 氏の功績によるものです。

• QuickTime

  CVE-ID：CVE-2009-0955

  対象となるバージョン：Mac OS X v10.4.11、Mac OS X v10.5.7、Windows Vista および XP SP3

  影響：悪意を持って作成されたビデオファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

  説明：QuickTime によるイメージ記述アトムの処理時に、符号拡張の問題が発生する場合があります。悪意を持って作成された Apple のビデオファイルを開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、記述アトムの検証を強化することにより、問題が解消されています。この問題の報告は、IBM Rational Application Security Research Group の Roee Hay 氏の功績によるものです。

• QuickTime

  CVE-ID：CVE-2009-0956

  対象となるバージョン：Mac OS X v10.4.11、Mac OS X v10.5.7、Windows Vista および XP SP3

  影響：悪意を持って作成されたユーザデータアトムを含むムービーファイルを開くとアプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

  説明：QuickTime によるムービーファイルの処理時に、未初期化メモリアクセスの脆弱性があります。サイズ 0 のユーザデータアトムを含むムービーファイルを再生すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、ムービーファイルの検証を強化し、ユーザに警告ダイアログを提示することによって、この問題が解消されています。この問題の報告は、Sourcefire, Inc. (VRT) の Lurene Grenier 氏の功績によるものです。

• QuickTime

  CVE-ID：CVE-2009-0957

  対象となるバージョン：Mac OS X v10.4.11、Mac OS X v10.5.7、Windows Vista および XP SP3

  影響：悪意を持って作成された JP2 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

  説明：QuickTime での JP2 画像の処理時に、ヒープバッファオーバーフローが発生する場合があります。悪意を持って作成された JP2 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、配列境界チェック機能を強化することで問題が解消されています。この問題の報告は、Independent Security Evaluators の Charlie Miller 氏、および TippingPoint の Zero Day Initiative に協力する Damian Put 氏の功績によるものです。