Informacje o zawartości związanej z zabezpieczeniami w programie QuickTime 7.6
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w programie QuickTime 7.6, którą można pobrać i zainstalować za pośrednictwem obszaru Uaktualnienia oprogramowania w Preferencjach systemowych lub z witryny Materiały do pobrania Apple.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
QuickTime 7.6
QuickTime
Identyfikator CVE: CVE-2009-0001
Dostępne dla: Mac OS X w wersjach 10.4.9–10.4.11, Mac OS X w wersji 10.5 lub nowszej, Windows Vista oraz XP SP2 i SP3
Zagrożenie: uzyskanie dostępu do specjalnie spreparowanego adresu URL RTSP może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu.
Opis: w zawartych w programie QuickTime procedurach obsługi adresów URL RTSP występuje błąd powodujący przepełnienie buforu sterty. Uzyskanie dostępu do specjalnie spreparowanego adresu URL RTSP może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem, przeprowadzając dodatkową weryfikację adresów URL RTSP. Ten problem zgłosił Attila Suszter.
QuickTime
Identyfikator CVE: CVE-2009-0002
Dostępne dla: Mac OS X w wersjach 10.4.9–10.4.11, Mac OS X w wersji 10.5 lub nowszej, Windows Vista oraz XP SP2 i SP3
Zagrożenie: wyświetlanie złośliwie spreparowanego pliku wideo QTVR może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu.
Opis: w zawartych w programie QuickTime procedurach obsługi atomów THKD plików wideo w formacie QTVR (QuickTime Virtual Reality) występuje błąd powodujący przepełnienie buforu sterty. Wyświetlanie złośliwie spreparowanego pliku QTVR może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Problem zgłosił anonimowy badacz współpracujący z inicjatywą TippingPoint Zero Day Initiative firmy TippingPoint.
QuickTime
Identyfikator CVE: CVE-2009-0003
Dostępne dla: Mac OS X w wersjach 10.4.9–10.4.11, Mac OS X w wersji 10.5 lub nowszej, Windows Vista oraz XP SP2
Zagrożenie: wyświetlenie specjalnie spreparowanego pliku wideo AVI może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu.
Opis: podczas przetwarzania pliku wideo AVI może nastąpić przepełnienie buforu sterty. Otwarcie specjalnie spreparowanego pliku wideo AVI może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Problem zgłosił anonimowy badacz współpracujący z inicjatywą TippingPoint Zero Day Initiative firmy TippingPoint.
QuickTime
Identyfikator CVE: CVE-2009-0004
Dostępne dla: Mac OS X w wersjach 10.4.9–10.4.11, Mac OS X w wersji 10.5 lub nowszej, Windows Vista oraz XP SP2 i SP3
Zagrożenie: wyświetlanie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi plików wideo MPEG-2 z zawartością audio w formacie MP3 występuje błąd powodujący przepełnienie buforu. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Problem zgłosił Chad Dougherty z Centrum koordynacji CERT.
QuickTime
Identyfikator CVE: CVE-2009-0005
Dostępne dla: Mac OS X w wersjach 10.4.9–10.4.11, Mac OS X w wersji 10.5 lub nowszej, Windows Vista oraz XP SP2 i SP3
Zagrożenie: wyświetlanie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu.
Opis: w zawartych w programie QuickTime procedurach obsługi filmów wideo zakodowanych w formacie H.263 występuje błąd powodujący uszkodzenie zawartości pamięci. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez wprowadzenie dodatkowej procedury sprawdzania plików wideo zakodowanych kodekiem H.263. Problem zgłosił Dave Soldera z firmy NGS Software.
QuickTime
Identyfikator CVE: CVE-2009-0006
Dostępne dla: Mac OS X w wersjach 10.4.9–10.4.11, Mac OS X w wersji 10.5 lub nowszej, Windows Vista oraz XP SP2 i SP3
Zagrożenie: wyświetlanie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu.
Opis: w zawartych w programie QuickTime procedurach obsługi filmów wideo zakodowanych w formacie Cinepak występuje błąd powodujący uszkodzenie zawartości pamięci. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez wykonywanie dodatkowego sprawdzania poprawności plików filmów. Problem zgłosił anonimowy badacz współpracujący z inicjatywą TippingPoint Zero Day Initiative firmy TippingPoint.
QuickTime
Identyfikator CVE: CVE-2009-0007
Dostępne dla: Mac OS X w wersjach 10.4.9–10.4.11, Mac OS X w wersji 10.5 lub nowszej, Windows Vista oraz XP SP2 i SP3
Zagrożenie: wyświetlanie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu.
Opis: w zawartych w programie QuickTime procedurach obsługi atomów jpeg plików wideo w formacie QuickTime występuje błąd powodujący przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Problem zgłosił anonimowy badacz współpracujący z inicjatywą TippingPoint Zero Day Initiative.
Ważne: informacje o produktach niewyprodukowanych przez Apple są dostarczane wyłącznie w celach informacyjnych i nie stanowią rekomendacji ani poparcia Apple. Dodatkowe informacje można uzyskać, kontaktując się z dostawcą.