Zawartość związana z zabezpieczeniami w aplikacji QuickTime 7.5.5
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji QuickTime 7.5.5, którą można pobrać i zainstalować za pośrednictwem preferencji Uaktualnienia oprogramowania lub z witryny Materiały do pobrania Apple.
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń dla bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
QuickTime 7.5.5
QuickTime
Identyfikator CVE: CVE-2008-3615
Dostępne dla: systemów Windows Vista, XP SP2 i SP3
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w kodeku Indeo v5 innej firmy dla aplikacji QuickTime, który nie jest dostarczany z aplikacją QuickTime, występuje błąd niezainicjowanego dostępu do pamięci. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem, nie renderując zawartości zakodowanej za pomocą dowolnej wersji kodeka Indeo. Ten problem nie występuje na komputerach z systemem Mac OS X, a zgłosił go Paul Byrne z NGSSoftware.
QuickTime
Identyfikator CVE: CVE-2008-3635
Dostępne dla: systemów Windows Vista, XP SP2 i SP3
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w kodeku Indeo v3.2 innej firmy dla aplikacji QuickTime występuje przepełnienie buforu stosu. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem, nie renderując zawartości zakodowanej za pomocą dowolnej wersji kodeka Indeo. Ten problem nie występuje na komputerach z systemem Mac OS X, a zgłosił go anonimowy badacz w ramach programu Zero Day Initiative firmy TippingPoint.
QuickTime
Identyfikator CVE: CVE-2008-3624
Dostępne dla: systemów Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 lub nowszych, Windows Vista, XP SP2 i SP3
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu QTVR może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurach obsługi atomów panoramy plików filmów w formacie QTVR (QuickTime Virtual Reality) przez aplikację QuickTime występuje błąd powodujący przepełnienie buforu sterty. Wyświetlanie złośliwie spreparowanego pliku QTVR może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez poprawienie mechanizmu sprawdzania ograniczeń atomów panoramy. Problem zgłosił Roee Hay z IBM Rational Application Security Research Group.
QuickTime
Identyfikator CVE: CVE-2008-3625
Dostępne dla: systemów Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 lub nowszych, Windows Vista, XP SP2 i SP3
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu QTVR może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurach obsługi atomów panoramy plików filmów w formacie QTVR (QuickTime Virtual Reality) przez aplikację QuickTime występuje błąd powodujący przepełnienie buforu stosu. Wyświetlanie złośliwie spreparowanego pliku QTVR może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez poprawienie mechanizmu sprawdzania ograniczeń atomów panoramy. Problem zgłosił anonimowy badacz współpracujący z inicjatywą TippingPoint Zero Day Initiative firmy TippingPoint.
QuickTime
Identyfikator CVE: CVE-2008-3614
Dostępne dla: systemów Windows Vista, XP SP2 i SP3
Zagrożenie: otwarcie złośliwie spreparowanego obrazu PICT może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi obrazów PICT przez aplikację QuickTime występuje przepełnienie całkowitoliczbowe. Otwarcie złośliwie spreparowanego obrazu PICT może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu To uaktualnienie rozwiązuje ten problem przez dodatkowe sprawdzanie poprawności obrazów PICT. Problem zgłosił anonimowy badacz współpracujący z firmą iDefense VCP.
QuickTime
Identyfikator CVE: CVE-2008-3626
Dostępne dla: systemów Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 lub nowszych, Windows Vista, XP SP2 i SP3
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurach obsługi atomów STSZ plików filmów przez aplikację QuickTime występuje błąd powodujący uszkodzenie zawartości pamięci. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez poprawienie mechanizmu sprawdzania ograniczeń atomów STSZ. Problem zgłosił anonimowy badacz współpracujący z inicjatywą TippingPoint Zero Day Initiative firmy TippingPoint.
QuickTime
Identyfikator CVE: CVE-2008-3627
Dostępne dla: systemów Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 lub nowszych, Windows Vista, XP SP2 i SP3
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurach obsługi przez aplikację QuickTime plików filmów z kodowaniem H.264 występują liczne błędy powodujące uszkodzenie zawartości pamięci. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez wykonywanie dodatkowego sprawdzania poprawności plików filmów z kodowaniem H.264. Problem zgłosił anonimowy badacz i Subreption LLC w ramach programu Zero Day Initiative firmy TippingPoint.
QuickTime
Identyfikator CVE: CVE-2008-3628
Dostępne dla: systemów Windows Vista, XP SP2 i SP3
Zagrożenie: otwarcie złośliwie spreparowanego obrazu PICT może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi obrazów PICT przez aplikację QuickTime występuje błąd nieprawidłowego wskaźnika. Otwarcie złośliwie spreparowanego obrazu PICT może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu To uaktualnienie rozwiązuje ten problem przez poprawne zachowywanie i odtwarzanie zmiennej globalnej. Ten problem nie występuje na komputerach z systemem Mac OS X, a zgłosił go David Wharton.
QuickTime
Identyfikator CVE: CVE-2008-3629
Dostępne dla: systemów Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 lub nowszych, Windows Vista, XP SP2 i SP3
Zagrożenie: otwarcie złośliwie spreparowanego pliku obrazu PICT może doprowadzić do nieoczekiwanego zakończenia działania aplikacji.
Opis: w procedurach obsługi obrazów PICT przez aplikację QuickTime występuje błąd odczytu spoza zakresu. Otwarcie złośliwie spreparowanego obrazu PICT może doprowadzić do nieoczekiwanego zakończenia działania aplikacji. To uaktualnienie rozwiązuje ten problem przez dodatkowe sprawdzanie poprawności obrazów PICT. Problem zgłosił Sergio „shadown” Alvarez z n.runs AG.
Ważne: informacje o produktach niewyprodukowanych przez Apple są dostarczane wyłącznie w celach informacyjnych i nie stanowią rekomendacji ani poparcia Apple. Więcej informacji można uzyskać u producenta.