Informacje o zawartości związanej z zabezpieczeniami w programie QuickTime 7.3.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w programie QuickTime 7.3.1, którą można pobrać i zainstalować za pośrednictwem preferencji Uaktualnienia oprogramowania lub z witryny Materiały do pobrania Apple.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

QuickTime 7.3.1

QuickTime

Identyfikator CVE: CVE-2007-6166

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9 i nowszych, Mac OS X 10.5 i nowszych, Windows Vista, XP SP2

Zagrożenie: wyświetlenie złośliwie spreparowanego filmu RTSP może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w obsłudze nagłówków protokołu RTSP (Real Time Streaming Protocol) przez program QuickTime występuje przepełnienie buforu. Przez zachęcenie użytkownika do wyświetlenia złośliwie spreparowanego filmu RTSP atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez zapewnienie, że rozmiar buforu docelowego jest tak dobrany, aby zmieścić dane.

QuickTime

Identyfikator CVE: CVE-2007-4706

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9 i nowszych, Mac OS X 10.5 i nowszych, Windows Vista, XP SP2

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku QTL może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi plików QTL przez program QuickTime występuje przepełnienie buforu sterty. Przez zachęcenie użytkownika do wyświetlenia złośliwie spreparowanego pliku QTL atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez ulepszenie sprawdzania granic.

QuickTime

Identyfikator CVE: CVE-2007-4707

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9 i nowszych, Mac OS X 10.5 i nowszych, Windows Vista, XP SP2

Zagrożenie: wiele luk w zabezpieczeniach w procedurze obsługi multimediów Flash przez program QuickTime

Opis: w procedurze obsługi multimediów Flash przez program QuickTime występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może spowodować wykonanie dowolnego kodu. Dzięki temu uaktualnieniu obsługa multimediów Flash w programie QuickTime jest wyłączona, z wyjątkiem ograniczonej liczby istniejących filmów QuickTime, o których wiadomo, że są bezpieczne. Problem został zgłoszony przez Toma Ferrisa z zespołu Adobe Secure Software Engineering Team (ASSET), Mike'a Price'a z McAfee Avert Labs, Lionela d'Hauenensa i Briana Marianiego — badaczy zajmujących się bezpieczeństwem w Syseclabs — oraz anonimowego badacza pracującego w ramach inicjatywy Zero Day Initiative firmy TippingPoint.