Zawartość związana z zabezpieczeniami w programie QuickTime 7.1.5
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w programie QuickTime 7.1.5.
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w programie QuickTime 7.1.5, który można pobrać i zainstalować za pośrednictwem preferencji funkcji Uaktualnienia oprogramowania lub tutaj.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Uaktualnienie QuickTime 7.1.5
QuickTime
Identyfikator CVE: CVE-2007-0711
Dostępne dla: Windows Vista/XP/2000
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku 3GP może spowodować awarię aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików wideo 3GP przez program QuickTime występuje przepełnienie całkowitoliczbowe. Nakłaniając użytkownika do otwarcia złośliwego filmu, atakujący może wywołać przepełnienie, co może doprowadzić do awarii aplikacji lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, przeprowadzając dodatkową weryfikację plików wideo 3GP. Ten problem nie dotyczy systemu Mac OS X. Podziękowania dla JJ Reyesa za zgłoszenie tego problemu.
QuickTime
Identyfikator CVE: CVE-2007-0712
Dostępne dla: Mac OS X 10.3.9 i nowszych, Windows Vista/XP/2000
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku MIDI może spowodować awarię aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików MIDI przez program QuickTime występuje przepełnienie buforu sterty. Nakłaniając użytkownika do otwarcia złośliwego pliku MIDI, atakujący może wywołać przepełnienie, co może doprowadzić do awarii aplikacji lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, przeprowadzając dodatkową weryfikację plików MIDI. Podziękowania dla Mike’a Price’a z McAfee AVERT Labs za zgłoszenie tego problemu.
QuickTime
Identyfikator CVE: CVE-2007-0713
Dostępne dla: Mac OS X 10.3.9 i nowszych, Windows Vista/XP/2000
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu QuickTime może spowodować awarię aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików filmów QuickTime przez program QuickTime występuje przepełnienie buforu sterty. Nakłaniając użytkownika do otwarcia złośliwie spreparowanego filmu, atakujący może wywołać przepełnienie, co może doprowadzić do awarii aplikacji lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, przeprowadzając dodatkową weryfikację filmów QuickTime. Podziękowania dla Mike’a Price’a z McAfee AVERT Labs, Piotra Bani i Artura Ogłozy za zgłoszenie tego problemu.
QuickTime
Identyfikator CVE: CVE-2007-0714
Dostępne dla: Mac OS X 10.3.9 i nowszych, Windows Vista/XP/2000
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu QuickTime może spowodować awarię aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi atomów UDTA w plikach filmów przez program QuickTime występuje przepełnienie całkowitoliczbowe. Nakłaniając użytkownika do otwarcia złośliwie spreparowanego filmu, atakujący może wywołać przepełnienie, co może doprowadzić do awarii aplikacji lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, przeprowadzając dodatkową weryfikację filmów QuickTime. Podziękowania dla Sowhat z Nevis Labs oraz anonimowego badacza współpracującego z TippingPoint i Zero Day Initiative za zgłoszenie tego błędu.
QuickTime
Identyfikator CVE: CVE-2007-0715
Dostępne dla: Mac OS X 10.3.9 i nowszych, Windows Vista/XP/2000
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PICT może spowodować awarię aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików PICT przez program QuickTime występuje przepełnienie buforu sterty. Nakłaniając użytkownika do otwarcia złośliwego pliku obrazu PICT, atakujący może wywołać przepełnienie, co może doprowadzić do wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, przeprowadzając dodatkową weryfikację plików PICT. Podziękowania dla Mike’a Price’a z McAfee AVERT Labs za zgłoszenie tego problemu.
QuickTime
Identyfikator CVE: CVE-2007-0716
Dostępne dla: Mac OS X 10.3.9 i nowszych, Windows Vista/XP/2000
Zagrożenie: otwarcie złośliwie spreparowanego pliku QTIF może spowodować awarię aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików QTIF przez program QuickTime występuje przepełnienie buforu stosu. Nakłaniając użytkownika do otwarcia złośliwie spreparowanego pliku QTIF, atakujący może wywołać przepełnienie, co może doprowadzić do awarii aplikacji lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, przeprowadzając dodatkową weryfikację plików QTIF. Podziękowania dla Mike’a Price’a z McAfee AVERT Labs za zgłoszenie tego problemu.
QuickTime
Identyfikator CVE: CVE-2007-0717
Dostępne dla: Mac OS X 10.3.9 i nowszych, Windows Vista/XP/2000
Zagrożenie: otwarcie złośliwie spreparowanego pliku QTIF może spowodować awarię aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików QTIF przez program QuickTime występuje przepełnienie całkowitoliczbowe. Nakłaniając użytkownika do otwarcia złośliwie spreparowanego pliku QTIF, atakujący może wywołać przepełnienie, co może doprowadzić do awarii aplikacji lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, przeprowadzając dodatkową weryfikację plików QTIF. Podziękowania dla Mike’a Price’a z McAfee AVERT Labs za zgłoszenie tego problemu.
QuickTime
Identyfikator CVE: CVE-2007-0718
Dostępne dla: Mac OS X 10.3.9 i nowszych, Windows Vista/XP/2000
Zagrożenie: otwarcie złośliwie spreparowanego pliku QTIF może spowodować awarię aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików QTIF przez program QuickTime występuje przepełnienie buforu sterty. Nakłaniając użytkownika do otwarcia złośliwie spreparowanego pliku QTIF, atakujący może wywołać przepełnienie, co może doprowadzić do awarii aplikacji lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, przeprowadzając dodatkową weryfikację plików QTIF. Podziękowania dla Rubena Santamarty współpracującego z programem iDefense Vulnerability Contributor Program oraz JJ Reyesa za zgłoszenie tego problemu.
QuickTime
Identyfikator CVE: CVE-2006-4965, CVE-2007-0059
Dostępne dla: Mac OS X 10.3.9 i nowszych, Windows Vista/XP/2000
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu QuickTime lub pliku QTL może doprowadzić do wykonania dowolnego kodu JavaScript w kontekście domeny lokalnej.
Opis: we wtyczce przeglądarki QuickTime występuje problem typu cross-zone scripting. Nakłaniając użytkownika do otwarcia złośliwego pliku filmu QuickTime lub pliku QTL, atakujący może wywołać problem prowadzący do wykonania dowolnego kodu JavaScript w kontekście domeny lokalnej. Problem ten został opisany na stronie internetowej Month of Apple Bugs (MOAB-03-01-2007). To uaktualnienie rozwiązuje ten problem, wprowadzając następujące zmiany w procedurze obsługi adresów URL w atrybucie qtnext plików QTL oraz ścieżek HREFTracks w filmach QuickTime. Jeśli film jest ładowany z witryny zdalnej, dozwolone są tylko adresy URL „http:” i „https:”. Jeśli film jest ładowany lokalnie, dozwolone są tylko adresy URL „file:”.
Program QuickTime 7.1.5 dla Maków lub komputerów z systemem Windows można pobrać z poziomu funkcji Uaktualnienia oprogramowania lub ręcznie ze strony: http://www.apple.com/quicktime/download/.