Over de beveiligingsinhoud van QuickTime 7.5.5
In dit document wordt de beveiligingsinhoud van QuickTime 7.5.5 beschreven. Deze versie kan worden gedownload en geïnstalleerd via het voorkeurenpaneel Software-update of via Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
QuickTime 7.5.5
QuickTime
CVE-ID: CVE-2008-3615
Beschikbaar voor: Windows Vista, XP SP2 en SP3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een toegangsprobleem met niet-geïnitialiseerd geheugen in de Indeo v5-codec van derden voor QuickTime, die niet wordt meegeleverd met QuickTime. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door de inhoud die is gecodeerd met alle versies van de Indeo-codec, niet weer te geven. Dit probleem is niet van toepassing op systemen met Mac OS X. Met dank aan Paul Byrne van NGSSoftware voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2008-3635
Beschikbaar voor: Windows Vista, XP SP2 en SP3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: Er bestaat een stackbufferoverloop in de Indeo v3.2-codec van derden voor QuickTime. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door de inhoud die is gecodeerd met alle versies van de Indeo-codec, niet weer te geven. Dit probleem is niet van toepassing op systemen met Mac OS X. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2008-3624
Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2 en SP3
Impact: het bekijken van een kwaadwillig vervaardigd QTVR-filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een heapbufferoverloop in de verwerking van panorama-atomen in QTVR-filmbestanden (QuickTime Virtual Reality) door QuickTime. Het bekijken van een kwaadwillig vervaardigd QTVR-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door verbeterde bereikcontrole van panorama-atomen. Met dank aan Roee Hay van IBM Rational Application Security Research Group voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2008-3625
Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2 en SP3
Impact: het bekijken van een kwaadwillig vervaardigd QTVR-filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een stackbufferoverloop in de verwerking van panorama-atomen in QTVR-filmbestanden (QuickTime Virtual Reality) door QuickTime. Het bekijken van een kwaadwillig vervaardigd QTVR-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door verbeterde bereikcontrole van panorama-atomen. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2008-3614
Beschikbaar voor: Windows Vista, XP SP2 en SP3
Impact: het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een overloop van hele getallen in de verwerking van PICT-afbeeldingen door QuickTime. Het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van PICT-afbeeldingen uit te voeren. Met dank aan een anonieme onderzoeker, in samenwerking met het iDefense VCP, voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2008-3626
Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2 en SP3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een geheugenbeschadigingsprobleem in de verwerking van STSZ-atomen in filmbestanden door QuickTime. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door verbeterde bereikcontrole van STSZ-atomen. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2008-3627
Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2 en SP3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een geheugenbeschadigingsprobleem in de verwerking van filmbestanden met H.264-codering door QuickTime. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door aanvullende validatie van filmbestanden met H.264-codering uit te voeren. Met dank aan een anonieme onderzoeker en Subreption LLC in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2008-3628
Beschikbaar voor: Windows Vista, XP SP2 en SP3
Impact: het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een probleem met een ongeldige pointer in de verwerking van PICT-afbeeldingen door QuickTime. Het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een globale variabele correct op te slaan en te herstellen. Dit probleem is niet van toepassing op systemen met Mac OS X. Met dank aan David Wharton voor het melden van dit probleem.
QuickTime
CVE-ID: CVE-2008-3629
Beschikbaar voor: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 of nieuwer, Windows Vista, XP SP2 en SP3
Impact: het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot onverwachte beëindiging van het programma
Beschrijving: er was een probleem met lezen buiten het bereik bij de verwerking van PICT-afbeeldingen door QuickTime. Het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot onverwachte beëindiging van het programma. Deze update verhelpt het probleem door aanvullende validatie van PICT-afbeeldingen uit te voeren. Met dank aan Sergio 'shadown' Alvarez van n.runs AG voor het melden van dit probleem.
Belangrijk: Informatie over producten die niet door Apple zijn geproduceerd, wordt alleen ter informatie verstrekt en vormt geen aanbeveling of goedkeuring van Apple. Neem contact op met de leverancier voor aanvullende informatie.