Informacje o zawartości związanej z zabezpieczeniami w programie QuickTime 7.5

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w programie QuickTime 7.5, którą można pobrać i zainstalować za pośrednictwem preferencji Uaktualnienia oprogramowania lub z witryny Materiały do pobrania Apple.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

QuickTime 7.5

QuickTime

Identyfikator CVE: CVE-2008-1581

Dostępne dla: Windows Vista, XP z dodatkiem SP2

Zagrożenie: otwarcie złośliwie spreparowanego pliku obrazu PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: błąd w obsłudze struktur PixData przez program QuickTime podczas przetwarzania obrazu PCT może spowodować przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego obrazu PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez ulepszenie sprawdzania granic. Ten problem nie dotyczy systemów Mac OS X. Problem został zgłoszony przez Dyona Baldinga z Secunia Research.

QuickTime

Identyfikator CVE: CVE-2008-1582

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 i nowszych, Windows Vista, XP SP2

Zagrożenie: otwarcie złośliwie spreparowanej zawartości multimedialnej zakodowanej w formacie AAC może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w obsłudze przez program QuickTime zawartości multimedialnej zakodowanej w formacie AAC występuje błąd powodujący uszkodzenie pamięci. Otwarcie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez wykonywanie dodatkowego sprawdzania poprawności plików multimedialnych. Problem został zgłoszony przez Dave'a Soldery z NGS Software i Jensa Alfke'a.

QuickTime

Identyfikator CVE: CVE-2008-1583

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 i nowszych, Windows Vista, XP SP2

Zagrożenie: otwarcie złośliwie spreparowanego pliku obrazu PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi obrazów PICT przez program QuickTime występuje przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego pliku obrazu PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez ulepszenie sprawdzania granic. Problem został zgłoszony przez Liama O Murchu z Symantec.

QuickTime

Identyfikator CVE: CVE-2008-1584

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 i nowszych, Windows Vista, XP SP2

Zagrożenie: wyświetlenie złośliwie spreparowanej zawartości multimedialnej w filmie Indeo 4 może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: problem w obsłudze przez program QuickTime zawartości kodeka wideo Indeo może spowodować przepełnienie buforu stosu. Wyświetlenie złośliwie spreparowanego pliku filmu z kodekiem wideo Indeo może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem, nie renderując zawartości z kodekiem wideo Indeo 4. Problem został zgłoszony przez anonimowego badacza współpracującego z inicjatywą Zero Day Initiative firmy TippingPoint.

QuickTime

Identyfikator CVE: CVE-2008-1585

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 i nowszych, Windows Vista, XP SP2

Zagrożenie: odtworzenie złośliwie spreparowanej zawartości QuickTime w aplikacji QuickTime Player może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi adresów URL file: w aplikacji QuickTime występuje problem z obsługą adresów URL. Może to pozwolić na uruchamianie dowolnych aplikacji i plików, gdy użytkownik odtwarza złośliwie spreparowaną zawartość QuickTime w aplikacji QuickTime Player. To uaktualnienie rozwiązuje problem przez wyświetlanie plików w Finderze lub Eksploratorze Windows, zamiast ich uruchamiania. Problem został zgłoszony przez Vinoo'a Thomasa i Rahula Mohandasa z McAfee Avert Labs oraz Petko D. (pdp) Petkov z GNUCITIZEN w ramach inicjatywy Zero Day Initiative firmy TippingPoint.

QuickTime

Identyfikator CVE: CVE-2008-2319

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 i nowszych, Windows Vista, XP SP2

Zagrożenie: otwarcie złośliwie spreparowanego pliku obrazu PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: problem z rozszerzeniem znaku w obsłudze obrazów PICT przez program QuickTime może prowadzić do przepełnienia buforu sterty. Otwarcie złośliwie spreparowanego pliku obrazu PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez traktowanie wartości jako niepodpisanej. Problem został zgłoszony przez Sergio'ego „shadown” Alvareza z n.runs AG.