Over de beveiligingsinhoud van QuickTime 7.6
In dit document wordt de beveiligingsinhoud van QuickTime 7.6 beschreven, die kan worden gedownload en geïnstalleerd via voorkeuren van Software-update of via Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
QuickTime 7.6
QuickTime
CVE-ID: CVE-2009-0001
Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2 en SP3
Impact: het openen van een kwaadwillig vervaardigde RTSP-URL kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een heapbufferoverloop in de verwerking van RTSP-URL's door QuickTime. Het openen van een kwaadwillig vervaardigde RTSP-URL kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van RTSP-URL's uit te voeren. Met dank aan Attila Suszter voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2009-0002
Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2 en SP3
Impact: het bekijken van een kwaadwillig vervaardigd QTVR-filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een heapbufferoverloop in de verwerking van TKHD-atomen in QTVR-filmbestanden (QuickTime Virtual Reality) door QuickTime. Het bekijken van een kwaadwillig vervaardigd QTVR-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2009-0003
Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2
Impact: het bekijken van een kwaadwillig vervaardigd AVI-filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er kan een heapbufferoverloop optreden bij de verwerking van een AVI-filmbestand. Het openen van een kwaadwillig vervaardigd AVI-filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2009-0004
Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2 en SP3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een bufferoverloop in de verwerking van MPEG-2-videobestanden die MP3-audio bevatten. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Chad Dougherty van het CERT Coordination Center voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2009-0005
Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2 en SP3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een geheugenbeschadigingsprobleem in de verwerking van filmbestanden met H.263-codering door QuickTime. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door aanvullende validatie van filmbestanden met H.263-codering uit te voeren. Met dank aan Dave Soldera van NGS Software voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2009-0006
Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2 en SP3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een ondertekeningsprobleem in de verwerking van filmbestanden met Cinepak-codering door QuickTime, dat kan leiden tot een heapbufferoverloop. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door aanvullende validatie van filmbestanden uit te voeren. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2009-0007
Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2 en SP3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een heapbufferoverloop in de verwerking van jpeg-atomen in QuickTime-filmbestanden door QuickTime. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.
Belangrijk: Informatie over producten die niet door Apple zijn geproduceerd, wordt alleen ter informatie verstrekt en vormt geen aanbeveling of goedkeuring van Apple. Neem voor meer informatie contact op met de leverancier.