Informacje o zawartości związanej z zabezpieczeniami w programie QuickTime 7.6.2

Ten dokument zawiera informacje na temat zawartości związanej z zabezpieczeniami w programie QuickTime 7.6.2.

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń dla bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

QuickTime 7.6.2

• QuickTime

  Identyfikator CVE: CVE-2009-0188

  Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i XP SP3

  Zagrożenie: otwarcie złośliwie spreparowanego filmu może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Opis: Procedury obsługi plików wideo Sorenson 3 przez program QuickTime zawierają błąd powodujący uszkodzenie zawartości pamięci. Może to spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez wykonywanie dodatkowego sprawdzania plików wideo Sorenson 3. Problem zgłosił Carsten Eiram z Secunia Research.

• QuickTime

  Identyfikator CVE: CVE-2009-0951

  Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i XP SP3

  Zagrożenie: otwarcie złośliwie spreparowanego skompresowanego pliku FLC może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Opis: W procedurach obsługi skompresowanych plików FLC istnieje błąd powodujący przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego skompresowanego pliku FLC może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Problem zgłosił anonimowy badacz współpracujący z inicjatywą TippingPoint Zero Day Initiative firmy TippingPoint.

• QuickTime

  Identyfikator CVE: CVE-2009-0952

  Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i XP SP3

  Zagrożenie: wyświetlenie specjalnie spreparowanego obrazu PSD może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu.

  Opis: Podczas przetwarzania skompresowanego obrazu PSD może nastąpić przepełnienie buforu. Otwarcie złośliwie spreparowanego skompresowanego pliku PSD może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Problem zgłosił Damian Put pracujący w ramach programu Zero Day Initiative firmy TippingPoint.

• QuickTime

  Identyfikator CVE: CVE-2009-0010

  Dostępne dla: Windows Vista i XP SP3

  Zagrożenie: otwarcie złośliwie spreparowanego obrazu w formacie PICT może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Opis: W procedurach obsługi obrazów w formacie PICT przez program QuickTime istnieje błąd powodujący niedomiar liczb całkowitych. Otwarcie złośliwie spreparowanego obrazu PICT może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez dodatkowe sprawdzanie poprawności obrazów PICT. Problem zgłosili Sebastian Apelt w ramach projektu Zero Day Initiative firmy TippingPoint oraz Chris Ries z działu Computing Services uczelni Carnegie Mellon University.

• QuickTime

  Identyfikator CVE: CVE-2009-0953

  Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i XP SP3

  Zagrożenie: otwarcie złośliwie spreparowanego obrazu w formacie PICT może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Opis: W procedurach obsługi obrazów PICT przez program QuickTime istnieje błąd powodujący przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego obrazu PICT może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez dodatkowe sprawdzanie poprawności obrazów PICT. Problem zgłosił Sebastian Apelt w ramach programu Zero Day Initiative firmy TippingPoint.

• QuickTime

  Identyfikator CVE: CVE-2009-0954

  Dostępne dla: Windows Vista i XP SP3

  Zagrożenie: otwarcie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Opis: W procedurach obsługi typów atomów Clipping Region (CRGN) w pliku filmu przez program QuickTime istnieje błąd powodujący przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Ten problem nie występuje na komputerach z systemem Mac OS X. Problem zgłosił anonimowy badacz współpracujący z inicjatywą TippingPoint Zero Day Initiative firmy TippingPoint.

• QuickTime

  Identyfikator CVE: CVE-2009-0185

  Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i XP SP3

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Opis: W procedurach obsługi danych audio zakodowanych w formacie MS ADPCM istnieje błąd powodujący przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Problem zgłosił Alin Rad Pop z Secunia Research.

• QuickTime

  Identyfikator CVE: CVE-2009-0955

  Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i XP SP3

  Zagrożenie: otwarcie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Opis: W procedurach obsługi atomów opisu obrazu przez program QuickTime istnieje błąd rozszerzenia znaku. Otwarcie złośliwie spreparowanego pliku wideo Apple może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez poprawienie procedury sprawdzania poprawności atomów opisu. Problem zgłosił Roee Hay z IBM Rational Application Security Research Group.

• QuickTime

  Identyfikator CVE: CVE-2009-0956

  Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i XP SP3

  Zagrożenie: wyświetlenie filmu ze złośliwie spreparowanym atomem danych użytkownika może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Opis: Procedury obsługi plików filmów przez program QuickTime zawierają błąd dostępu do niezainicjowanej pamięci. Wyświetlenie pliku filmu z atomem danych użytkownika o zerowej wielkości może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez wykonanie dodatkowej procedury sprawdzania plików filmów i wyświetlanie okna dialogowego ostrzeżenia dla użytkownika. Problem zgłosiła Lurene Grenier z Sourcefire, Inc. (VRT).

• QuickTime

  Identyfikator CVE: CVE-2009-0957

  Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista i XP SP3

  Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu w formacie JP2 może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Opis: W procedurach obsługi obrazów JP2 przez program QuickTime istnieje błąd powodujący przepełnienie buforu sterty. Wyświetlenie specjalnie spreparowanego obrazu JP2 może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Problem zgłosili Charlie Miller z Independent Security Evaluators oraz Damian Put w ramach programu Zero Day Initiative firmy TippingPoint.