Om sikkerhetsinnholdet i QuickTime 7.5
Dette dokumentet beskriver sikkerhetsinnholdet i QuickTime 7.5, som kan lastes ned og installeres via Valg for Programvareoppdatering, eller fra Apple-nedlastninger.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.
Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.»
Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.
Hvis du vil ha mer informasjon om andre sikkerhetsoppdateringer, går du til «Sikkerhetsoppdateringer fra Apple.»
QuickTime 7.5
QuickTime
CVE-ID: CVE-2008-1581
Tilgjengelig for: Windows Vista, XP SP2
Virkning: Åpning av en skadelig PICT-bildefil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres.
Beskrivelse: Et problem i QuickTimes håndtering av PixData-strukturer ved behandling av et PICT-bilde kan føre til en heap-bufferoverflyt. Åpning av et skadelig PICT-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grenseverdikontroll. Dette problemet påvirker ikke systemer som kjører Mac OS X. Takk til Dyon Balding fra Secunia Research for å ha rapportert dette problemet.
QuickTime
CVE-ID: CVE-2008-1582
Tilgjengelig for: Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 eller nyere, Windows Vista, XP SP2
Virkning: Åpning av et skadelig AAC-kodet medieinnhold kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.
Beskrivelse: Det er et problem med sikkerhetsbrudd i minnet i QuickTimes håndtering av AAC-kodet medieinnhold. Åpning av skadelige mediefiler kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet ved å utføre ytterligere validering av mediefiler. Takk til Dave Soldera fra NGS Software og Jens Alfke for å ha rapportert dette problemet.
QuickTime
CVE-ID: CVE-2008-1583
Tilgjengelig for: Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 eller nyere, Windows Vista, XP SP2
Virkning: Åpning av en skadelig PICT-bildefil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres.
Beskrivelse: Det er en heap-bufferoverflyt i QuickTimes håndtering av PICT-bilder. Åpning av en skadelig PICT-bildefil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Denne oppdateringen løser problemet gjennom forbedret grenseverdikontroll. Takk til Liam O Murchu fra Symantec for å ha rapportert dette problemet.
QuickTime
CVE-ID: CVE-2008-1584
Tilgjengelig for: Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 eller nyere, Windows Vista, XP SP2
Virkning: Visning av skadelig Indeo 4-videomedieinnhold kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.
Beskrivelse: Et problem med QuickTimes håndtering av Indeo-videokodekinnhold kan føre til en stabelbufferoverflyt. Visning av en skadelig filmfil med Indeo-videokodekinnhold kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet ved å ikke gjengi Indeo 4-videokodekinnholdet. Takk til en anonym forsker i samarbeid med TippingPots Zero Day Initiative for å ha rapportert dette problemet.
QuickTime
CVE-ID: CVE-2008-1585
Tilgjengelig for: Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 eller nyere, Windows Vista, XP SP2
Virkning: Avspilling av skadelig QuickTime-innhold i QuickTime Player kan føre til utføring av vilkårlig kode.
Beskrivelse: Det finnes et problem med URL-håndtering i QuickTimes håndtering av filen: URL-er. Dette kan tillate at vilkårlige programmer og filer lanseres når en bruker spiller av skadelig QuickTime-innhold i QuickTime Player. Denne oppdateringen løser problemet ved å avsløre filer i Finder eller Windows Utforsker i stedet for å starte dem. Takk til Vinoo Thomas og Rahul Mohandas fra McAfee Avert Labs og Petko D. (pdp) Petkov fra GNUCITIZEN i samarbeid med TippingPots Zero Day Initiative for å ha rapportert dette problemet.
QuickTime
CVE-ID: CVE-2008-2319
Tilgjengelig for: Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 eller nyere, Windows Vista, XP SP2
Virkning: Åpning av en skadelig PICT-bildefil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres.
Beskrivelse: Et problem med skiltutvidelse i QuickTimes håndtering av PICT-bilder kan føre til en heap-bufferoverflyt. Åpning av en skadelig PICT-bildefil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Denne oppdateringen løser problemet ved å behandle verdien som usignert. Takk til Sergio «shadown» Alvarez fra n.runs AG for å ha rapportert dette problemet.