Informacje o zawartości związanej z zabezpieczeniami w aplikacji QuickTime 7.3

Ten dokument zawiera opis zawartości związanej z zabezpieczeniami w aplikacji QuickTime 7.3, którą można pobrać i zainstalować za pomocą preferencji uaktualnień oprogramowania lub w witrynie plików do pobrania Apple.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Więcej informacji o innych uaktualnieniach bezpieczeństwa znajduje się w artykule Aktualizacje zabezpieczeń Apple.

QuickTime 7.3

QuickTime

Identyfikator CVE: CVE-2007-2395

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9 lub nowszy, Mac OS X 10.5, Windows Vista, XP SP2

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi przez aplikację QuickTime atomów opisu obrazu istnieje problem polegający na uszkodzeniu zawartości pamięci. Zachęcając użytkownika do otwarcia specjalnie spreparowanego pliku wideo, osoba atakująca może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez wykonanie dodatkowej weryfikacji opisów obrazu w aplikacji QuickTime. Problem zgłosił Dylan Ashe z firmy Adobe Systems Incorporated.

QuickTime

Identyfikator CVE: CVE-2007-3750

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9 lub nowszy, Mac OS X 10.5, Windows Vista, XP SP2

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi przez aplikację QuickTime Player atomów Sample Table Sample Descriptor (STSD) występuje przepełnienie buforu sterty. Zachęcając użytkownika do otwarcia specjalnie spreparowanego pliku wideo, osoba atakująca może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez wykonanie dodatkowej weryfikacji atomów STSD. Problem zgłosił Tobias Klein z witryny www.trapkit.de.

QuickTime

Identyfikator CVE: CVE-2007-3751

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9 lub nowszy, Mac OS X 10.5, Windows Vista, XP SP2

Zagrożenie: niezaufane aplety Java mogą uzyskać podwyższony poziom uprawnień.

Opis: w aplikacji QuickTime for Java występuje wiele luk w zabezpieczeniach, które mogą umożliwiać niezaufanym apletom Java uzyskiwanie podwyższonego poziomu uprawnień. Zachęcając użytkownika do odwiedzenia strony WWW ze złośliwe spreparowanym apletem Java, osoba atakująca może spowodować ujawnienie poufnych danych lub wykonanie dowolnego kodu z podwyższonym poziomem uprawnień. To uaktualnienie rozwiązuje ten problem, uniemożliwiając niezaufanym apletom Java dostęp do aplikacji QuickTime for Java. Problem zgłosił Adam Gowdiak.

QuickTime

Identyfikator CVE: CVE-2007-4672

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9 lub nowszy, Mac OS X 10.5, Windows Vista, XP SP2

Zagrożenie: otwarcie złośliwie spreparowanego obrazu PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: podczas przetwarzania obrazu PICT występuje przepełnienie buforu sterty. Zachęcając użytkownika do otwarcia specjalnie spreparowanego pliku obrazu, osoba atakująca może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie usuwa ten problem przez wprowadzenie dodatkowej procedury sprawdzania plików PICT. Problem zgłosił Ruben Santamarta z witryny reversemode.com przy współpracy z TippingPoint w ramach programu Zero Day Initiative.

QuickTime

Identyfikator CVE: CVE-2007-4676

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9 lub nowszy, Mac OS X 10.5, Windows Vista, XP SP2

Zagrożenie: otwarcie złośliwie spreparowanego obrazu PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: podczas przetwarzania obrazu PICT występuje przepełnienie buforu sterty. Zachęcając użytkownika do otwarcia specjalnie spreparowanego pliku obrazu, osoba atakująca może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie usuwa ten problem przez wprowadzenie dodatkowej procedury sprawdzania plików PICT. Problem zgłosił Ruben Santamarta z witryny reversemode.com przy współpracy z TippingPoint w ramach programu Zero Day Initiative.

QuickTime

Identyfikator CVE: CVE-2007-4675

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9 lub nowszy, Mac OS X 10.5, Windows Vista, XP SP2

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu w formacie QTVR może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi przez aplikację QuickTime atomów próbek obrazu panoramicznego plików filmów w formacie QTVR (QuickTime Virtual Reality) występuje przepełnienie buforu sterty. Zachęcając użytkownika do otwarcia specjalnie spreparowanego pliku wideo w formacie QTVR, osoba atakująca może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez sprawdzanie ograniczeń atomów próbek obrazu panoramicznego. Problem zgłosił Mario Ballano z witryny 48bits.com przy współpracy z VeriSign iDefense VCP.

QuickTime

Identyfikator CVE: CVE-2007-4677

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9 lub nowszy, Mac OS X 10.5, Windows Vista, XP SP2

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: podczas analizowania atomu tabeli kolorów podczas otwierania pliku wideo występuje przepełnienie buforu sterty. Zachęcając użytkownika do otwarcia specjalnie spreparowanego pliku wideo, osoba atakująca może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez wykonanie dodatkowej weryfikacji atomów tabeli kolorów. Problem zgłosili Ruben Santamarta z witryny reversemode.com i Mario Ballano z witryny 48bits.com przy współpracy z TippingPoint w ramach programu Zero Day Initiative.

QuickTime

Identyfikator CVE: CVE-2007-4674

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.9 lub nowszy, Mac OS X 10.5, Windows Vista, XP SP2

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: problem z arytmetyką liczb całkowitych w aplikacji QuickTime dotyczący niektórych atomów plików wideo może prowadzić do przepełnienia bufora stosu. Zachęcając użytkownika do otwarcia specjalnie spreparowanego pliku wideo, osoba atakująca może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez poprawę obsługi pól długości atomów z plikach wideo. Problem zgłosił Cody Pierce z firmy TippingPoint DVLabs.