Om sikkerhetsinnholdet i QuickTime 7.1.6

Dette dokumentet beskriver sikkerhetsinnholdet til QuickTime 7.1.6, som kan lastes ned og installeres via Programvareoppdatering, eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Mer informasjon finnes her: Apple-produktsikkerhet.

Mer informasjon finnes her: Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple-sikkerhetsoppdateringer.

QuickTime-oppdatering 7.1.6

QuickTime

CVE-ID: CVE-2007-2175

Tilgjengelig for Mac OS X 10.3.9, Mac OS X 10.4.9, Windows XP SP2, Windows 2000 SP4

Virkning: Dersom du besøker et skadelig nettsted, kan det føre til utilsiktet kodeutføring.

Beskrivelse: Det finnes et implementeringsproblem i QuickTime for Java, som kan gjøre det mulig å lese eller skrive utenfor grensene for den tildelte heapen. Ved å lure en bruker til å besøke en nettside som inneholder en skadelig Java-applet, kan en angriper utløse problemet som kan føre til utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre ekstra avgrensningskontroll ved opprettelse av QTPointerRef-objekter. Takk til Dino Dai Zovi som jobber med TippingPoint og Zero Day Initiative for å ha rapportert dette problemet.