Over de beveiligingsinhoud van QuickTime 7.1.5

In dit document wordt de beveiligingsinhoud van QuickTime 7.1.5 beschreven.

In dit document wordt de beveiligingsinhoud van QuickTime 7.1.5 beschreven. Deze versie kan hier worden gedownload en geïnstalleerd of via de voorkeuren van Software Update.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie 'Apple beveiligingsupdates' voor meer informatie over andere beveiligingsupdates.

QuickTime 7.1.5-update

QuickTime

CVE-ID: CVE-2007-0711

Beschikbaar voor: Windows Vista/XP/2000

Impact: het bekijken van een kwaadwillig vervaardigd 3GP-bestand kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code.

Beschrijving: er was een overloop bij gehele getallen bij de verwerking van 3GP-bestanden door QuickTime. Door een gebruiker te verleiden een kwaadwillig vervaardigde film te openen, kan een aanvaller de overloop activeren, wat kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door aanvullende validatie van 3GP-videobestanden uit te voeren. Dit probleem heeft geen invloed op Mac OS X. Met dank aan JJ Reyes voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2007-0712

Beschikbaar voor: Mac OS X v10.3.9 en nieuwer, Windows Vista/XP/2000

Impact: het bekijken van een kwaadwillig vervaardigd MIDI-bestand kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code.

Beschrijving: er kan een heapbufferoverloop optreden bij de verwerking van MIDI-bestanden in QuickTime. Door een gebruiker te verleiden een kwaadwillig vervaardigd MIDI-bestand te openen, kan een aanvaller de overloop activeren, wat kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van MIDI-bestanden uit te voeren. Met dank aan Mike Price van McAfee AVERT Labs voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2007-0713

Beschikbaar voor: Mac OS X v10.3.9 en nieuwer, Windows Vista/XP/2000

Impact: het bekijken van een kwaadwillig vervaardigd QuickTime-filmbestand kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code.

Beschrijving: er kan een heapbufferoverloop optreden bij de verwerking van QuickTime-filmbestanden in QuickTime. Door een gebruiker te verleiden een kwaadwillig vervaardigde film te openen, kan een aanvaller de overloop activeren, wat kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van QuickTime-films uit te voeren. Met dank aan Mike Price van McAfee AVERT Labs, Piotr Bania en Artur Ogloza voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2007-0714

Beschikbaar voor: Mac OS X v10.3.9 en nieuwer, Windows Vista/XP/2000

Impact: het bekijken van een kwaadwillig vervaardigd QuickTime-filmbestand kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code.

Beschrijving: er treedt een overloop op bij gehele getallen bij de verwerking van UDTA-atomen in filmbestanden door QuickTime. Door een gebruiker te verleiden een kwaadwillig vervaardigde film te openen, kan een aanvaller de overloop activeren, wat kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van QuickTime-films uit te voeren. Met dank aan Sowhat van Nevis Labs en een anonieme onderzoeker die werkt met TippingPoint en het Zero Day Initiative voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2007-0715

Beschikbaar voor: Mac OS X v10.3.9 en nieuwer, Windows Vista/XP/2000

Impact: het bekijken van een kwaadwillig vervaardigd PICT-bestand kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code.

Beschrijving: er kan een heapbufferoverloop optreden bij de verwerking van PICT-bestanden in QuickTime. Door een gebruiker te verleiden een kwaadwillig vervaardigd PICT-afbeeldingsbestand te openen, kan een aanvaller de overloop activeren, wat kan leiden tot het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van PICT-bestanden uit te voeren. Met dank aan Mike Price van McAfee AVERT Labs voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2007-0716

Beschikbaar voor: Mac OS X v10.3.9 en nieuwer, Windows Vista/XP/2000

Impact: het openen van een kwaadwillig vervaardigd QTIF-bestand kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code.

Beschrijving: er kan een stackbufferoverloop optreden bij de verwerking van QTIF-bestanden in QuickTime. Door een gebruiker te verleiden een kwaadwillig vervaardigd QTIF-bestand te openen, kan een aanvaller de overloop activeren, wat kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van QTIF-bestanden uit te voeren. Met dank aan Mike Price van McAfee AVERT Labs voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2007-0717

Beschikbaar voor: Mac OS X v10.3.9 en nieuwer, Windows Vista/XP/2000

Impact: het openen van een kwaadwillig vervaardigd QTIF-bestand kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code.

Beschrijving: er treedt een overloop op bij gehele getallen bij de verwerking van QTIF-bestanden door QuickTime. Door een gebruiker te verleiden een kwaadwillig vervaardigd QTIF-bestand te openen, kan een aanvaller de overloop activeren, wat kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van QTIF-bestanden uit te voeren. Met dank aan Mike Price van McAfee AVERT Labs voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2007-0718

Beschikbaar voor: Mac OS X v10.3.9 en nieuwer, Windows Vista/XP/2000

Impact: het openen van een kwaadwillig vervaardigd QTIF-bestand kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code.

Beschrijving: er kan een heapbufferoverloop optreden bij de verwerking van QTIF-bestanden in QuickTime. Door een gebruiker te verleiden een kwaadwillig vervaardigd QTIF-bestand te openen, kan een aanvaller de overloop activeren, wat kan leiden tot het vastlopen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van QTIF-bestanden uit te voeren. Met dank aan Ruben Santamarta die werkt met het iDefense Vulnerability Contributor Program en JJ Reyes voor het melden van dit probleem.

QuickTime

CVE-ID: CVE-2006-4965, CVE-2007-0059

Beschikbaar voor: Mac OS X v10.3.9 en nieuwer, Windows Vista/XP/2000

Impact: het bekijken van een kwaadwillig vervaardigd QuickTime-filmbestand of QTL-bestand kan leiden tot het uitvoeren van willekeurige JavaScript-code in de context van het lokale domein.

Beschrijving: er treedt een probleem op met cross-zone scripting in de browserplug-in van QuickTime. Door een gebruiker te verleiden een kwaadwillend QuickTime-filmbestand of QTL-bestand te openen, kan een aanvaller het probleem veroorzaken, dat kan leiden tot het uitvoeren van willekeurige JavaScript-code in de context van het lokale domein. Dit probleem is beschreven op de Month of Apple Bugs-website (MOAB-03-01-2007). Deze update lost het probleem op door de volgende wijzigingen aan te brengen in de verwerking van URL's in het kenmerk qtnext van QTL-bestanden en HREFTracks in QuickTime-films. Alleen 'http:'- en 'https:'-URL's zijn toegestaan als de film wordt geladen vanaf een externe site. Alleen bestands-URL's zijn toegestaan als de film lokaal wordt geladen.

QuickTime 7.1.5 voor Mac of Windows kan worden verkregen via Software Update of als handmatige download via:https://support.apple.com/kb/DL837?locale=nl_NL.

Publicatiedatum: