Over de beveiligingsinhoud van QuickTime 7.5

In dit document wordt de beveiligingsinhoud van QuickTime 7.5 beschreven, die kan worden gedownload en geïnstalleerd via voorkeuren voor software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

QuickTime 7.5

QuickTime

CVE-ID: CVE-2008-1581

Beschikbaar voor: Windows Vista, XP SP 2

Impact: Het openen van een kwaadwillig vervaardigde PICT-afbeelding kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben.

Beschrijving: Een probleem met de verwerking van PixData-structuren in QuickTime bij het verwerken van een PICT-afbeelding kan leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door verbeterde bereikcontrole. Dit probleem is niet van toepassing op systemen met Mac OS X. Met dank aan Dyon Balding van Secunia Research voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2008-1582

Beschikbaar voor: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of hoger, Windows Vista, XP SP 2

Impact: Het openen van kwaadwillig vervaardigde AAC-gecodeerde media-inhoud kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben.

Beschrijving: Er is een probleem met geheugenbeschadiging opgetreden bij de verwerking van AAC-gecodeerde media-inhoud in QuickTime. Het openen van een kwaadwillig vervaardigd mediabestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben. Deze update lost het probleem op door aanvullende validatie van mediabestanden uit te voeren. Met dank aan Dave Soldera van NGS Software en Jens Alfke voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2008-1583

Beschikbaar voor: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of hoger, Windows Vista, XP SP 2

Impact: Het openen van een kwaadwillig vervaardigde PICT-afbeelding kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben.

Beschrijving: Er is een heapbufferoverloop opgetreden bij de verwerking van PICT-afbeeldingen in QuickTime. Het openen van een kwaadwillig vervaardigde PICT-afbeelding kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben. Deze update lost het probleem op door verbeterde bereikcontrole. Met dank aan Liam O Murchu van Symantec voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2008-1584

Beschikbaar voor: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of hoger, Windows Vista, XP SP 2

Impact: Het bekijken van kwaadwillig vervaardigde Indeo 4-videomedia-inhoud kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben.

Beschrijving: Een probleem bij de verwerking van Indeo-videocodec-inhoud in QuickTime kan leiden tot een stackbufferoverloop. Het bekijken van een kwaadwillig vervaardigd filmbestand met Indeo-videocodec-inhoud kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben. Deze update lost het probleem op door de inhoud van de Indeo 4-videocodec-inhoud niet weer te geven. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2008-1585

Beschikbaar voor: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of hoger, Windows Vista, XP SP 2

Impact: Het afspelen van kwaadwillig vervaardigde QuickTime-inhoud in QuickTime Player kan leiden tot uitvoering van willekeurige code.

Beschrijving: Er is een probleem met de verwerking van URL's in QuickTime bij de verwerking van file:-URL's. Hierdoor kunnen willekeurige apps en bestanden worden gestart wanneer een gebruiker kwaadwillig vervaardigde QuickTime-inhoud in QuickTime Player afspeelt. Deze update lost het probleem op door bestanden te tonen in de Finder of Windows Verkenner in plaats van ze te starten. Met dank aan Vinoo Thomas en Rahul Mohandas van McAfee Avert Labs en Petko D. (pdp) Petkov van GNUCITIZEN in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2008-2319

Beschikbaar voor: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of hoger, Windows Vista, XP SP 2

Impact: Het openen van een kwaadwillig vervaardigde PICT-afbeelding kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben.

Beschrijving: Een probleem met de tekenextensie bij de verwerking van PICT-afbeeldingen in QuickTime kan leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigde PICT-afbeelding kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben. Deze update lost het probleem op door de waarde als niet-ondertekend te behandelen. Met dank aan Sergio 'shadown' Alvarez van n.runs AG voor het melden van dit probleem.