Om sikkerhetsinnholdet i QuickTime 7.1.6

Dette dokumentet er en beskrivelse av sikkerhetsoppdatering 2007-004 v1.1, som kan lastes ned og installeres via innstillinger under Programvareoppdatering eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis å ikke videreformidle, diskutere eller bekrefte sikkerhetsproblemer før en fullstendig undersøkelse er gjennomført og eventuelle nødvendige programoppgraderinger eller -versjoner er tilgjengelige. Du finner mer informasjon om Apples produktsikkerhet på nettstedet Apples produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apples produktsikkerhet under "Slik bruker du PGP-nøkkelen for Apples produktsikkerhet."

CVE-ID brukes der det er mulig som en henvisning til svakheter for ytterligere informasjon.

Du finner mer informasjon om andre sikkerhetsoppdateringer under "Apples sikkerhetsoppdateringer."

Oppdatering for QuickTime 7.1.6

  • QuickTime

    CVE-ID: CVE-2007-2175

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X v10.4.9, Windows XP SP2, Windows 2000 SP4

    Effekt: Besøk på skadelige nettsteder kan føre til at arbitrær kode kjøres.

    Beskrivelse: Det foreligger et implementeringsproblem i QuickTime for Java, som kan tillate lesing eller skriving utenfor grensene for den tildelte haugen. Ved å oppfordre en bruker til å gå til en nettside som inneholder et skadelig Java-program, kan en angriper utløse problemet, som igjen kan føre til at arbitrær kode kjøres. Denne oppdateringen løser problemet ved å gjennomføre ytterligere grensesjekker ved oppretting av QTPointerRef-objekter. Takk til Dino Dai Zovi som jobber med TippingPoint og Zero Day Initiative, som meldte fra om dette problemet.

Publiseringsdato: