Over de beveiligingscontent van QuickTime 7.5.5

In dit document wordt de beveiligingsinhoud van QuickTime 7.5.5 beschreven die gedownload en geïnstalleerd kan worden via de voorkeuren bij Software-update of op Apple-downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Raadpleeg de website Apple productbeveiliging voor meer informatie over de Apple-productbeveiliging.

Zie 'How to use the Apple Product Security PGP Key' (Hoe gebruikt u de Apple PGP-sleutel voor productbeveiliging) voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's gebruikt om verwijzingen te bieden voor kwetsbare punten voor nadere informatie.

Zie 'Apple beveiligingsupdates' voor meer informatie over andere beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

QuickTime 7.5.5

  • QuickTime

    CVE-ID: CVE-2008-3615

    Beschikbaar voor: Windows Vista, XP SP2 en SP3

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht afsluiten van een programma of uitvoering van willekeurige code.

    Beschrijving: er doet zich een probleem met niet-geïnitialiseerde toegang tot het geheugen voor in de externe Indeo v5-codec voor QuickTime, die niet bij QuickTime wordt geleverd. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van kwaadwillige code. Met deze update wordt het probleem verholpen door inhoud die is gecodeerd met een versie van de Indeo-codec, niet te renderen. Dit probleem is niet van invloed op systemen waarop Mac OS X wordt uitgevoerd. Met dank aan Paul Byrne van NGSSoftware voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2008-3635

    Beschikbaar voor: Windows Vista, XP SP2 en SP3

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht afsluiten van een programma of uitvoering van willekeurige code.

    Beschrijving: een overloop van de stapelbuffer treedt op in de externe Indeo v3.2-codec voor QuickTime. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van kwaadwillige code. Met deze update wordt het probleem verholpen door inhoud die is gecodeerd met een versie van de Indeo-codec, niet te renderen. Dit probleem is niet van invloed op systeem waarop Mac OS X wordt uitgevoerd. Met dank aan een anonieme onderzoeker die werkt bij ZDI voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2008-3624

    Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of hoger, Windows Vista, XP SP2 en SP3

    Impact: het weergeven van een kwaadwillig vervaardigd QTVR-filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: een heap-bufferoverloop treedt op bij de verwerking van panorama-atomen in QTVR-filmbestanden (QuickTime Virtual Reality) in QuickTime. Het weergeven van een kwaadwillig vervaardigd QTVR-filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Met deze update wordt het probleem verholpen door verbeterde bounds checking van panorama-atomen. Met dank aan Roee Hay van IBM Rational Application Security Research Group voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2008-3625

    Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of hoger, Windows Vista, XP SP2 en SP3

    Impact: het weergeven van een kwaadwillig vervaardigd QTVR-filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: een overloop van de stapelbuffer treedt op bij de verwerking van panorama-atomen in QTVR-filmbestanden (QuickTime Virtual Reality) in QuickTime. Het weergeven van een kwaadwillig vervaardigd QTVR-filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Met deze update wordt het probleem verholpen door verbeterde bounds checking van panorama-atomen. Met dank aan een anonieme onderzoeker met TippingPoint en het Zero Day Initiative voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2008-3614

    Beschikbaar voor: Windows Vista, XP SP2 en SP3

    Impact: het openen van een kwaadwillig vervaardigd PICT-afbeeldingsbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: een integeroverloop treedt op bij de verwerking van PICT-afbeeldingsbestanden in QuickTime. Het openen van een kwaadwillig vervaardigd PICT-afbeeldingsbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Met deze update wordt het probleem verholpen door aanvullende validatie van PICT-afbeeldingsbestanden uit te voeren. Met dank aan een anonieme onderzoeker met iDefense VCP voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2008-3626

    Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of hoger, Windows Vista, XP SP2 en SP3

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht afsluiten van een programma of uitvoering van willekeurige code.

    Beschrijving: er doet zich een probleem met het geheugen voor bij de verwerking van STSZ-atomen in filmbestanden in QuickTime. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van kwaadwillige code. Met deze update wordt het probleem verholpen door verbeterde bounds checking van STSZ-atomen. Met dank aan een anonieme onderzoeker met TippingPoint en het Zero Day Initiative voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2008-3627

    Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of hoger, Windows Vista, XP SP2 en SP3

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht afsluiten van een programma of uitvoering van willekeurige code.

    Beschrijving: meerdere problemen met het geheugen doen zich voor bij de verwerking van H.264-gecodeerde filmbestanden in QuickTime. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van kwaadwillige code. Met deze update wordt het probleem verholpen door aanvullende validatie uit te voeren voor H.264-gecodeerde filmbestanden. Met dank aan een anonieme onderzoeker en Subreption LLC met TippingPoint en het Zero Day Initiative voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2008-3628

    Beschikbaar voor: Windows Vista, XP SP2 en SP3

    Impact: het openen van een kwaadwillig vervaardigd PICT-afbeeldingsbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: een probleem met een ongeldige muisaanwijzer treedt op bij de verwerking van PICT-afbeeldingsbestanden in QuickTime. Het openen van een kwaadwillig vervaardigd PICT-afbeeldingsbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Met deze update wordt het probleem verholpen door een algemene variabele op de juiste manier op te slaan en te herstellen. Dit probleem is niet van invloed op systemen waarop Mac OS X wordt uitgevoerd. Met dank aan David Wharton voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2008-3629

    Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of hoger, Windows Vista, XP SP2 en SP3

    Impact: het openen van een kwaadwillig vervaardigd PICT-afbeeldingsbestand kan leiden tot het onverwacht beëindigen van het programma.

    Beschrijving: er treedt een probleem op met out-of-bounds lezen bij de verwerking van PICT-afbeeldingsbestanden in QuickTime. Het openen van een kwaadwillig vervaardigd PICT-afbeeldingsbestand kan leiden tot het onverwacht beëindigen van het programma. Met deze update wordt het probleem verholpen door aanvullende validatie van PICT-afbeeldingsbestanden uit te voeren. Met dank aan Sergio 'shadown' Alvarez van n.runs AG voor het melden van dit probleem.

Belangrijk: informatie over producten die niet door Apple zijn vervaardigd, is alleen ter informatie en impliceert niet dat Apple deze producten goedkeurt of aanbeveelt. Neem contact op met de leverancier voor aanvullende informatie.

Publicatiedatum: