Zawartość związana z zabezpieczeniami w aplikacji QuickTime 7.7

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji QuickTime 7.7.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

QuickTime 7.7

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  • Opis: w procedurze obsługi plików PICT przez aplikację QuickTime występowało przepełnienie buforu. Wyświetlenie złośliwie spreparowanego pliku PICT może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. W przypadku systemów Mac OS X 10.6 ten problem został rozwiązany w systemie Mac OS X w wersji 10.6.8. Problem ten nie dotyczy systemów OS X Lion.

  • Identyfikator CVE

  • CVE-2011-0245: Subreption LLC w ramach programu Zero Day Initiative firmy TippingPoint

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku obrazu JPEG2000 przez QuickTime może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  • Opis: w procedurze obsługi obrazów JPEG2000 przez program QuickTime występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Wyświetlenie złośliwie spreparowanego pliku obrazu JPEG2000 przez QuickTime może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. W przypadku systemów Mac OS X 10.6 ten problem został rozwiązany w systemie Mac OS X w wersji 10.6.7. Problem ten nie dotyczy systemów OS X Lion.

  • Identyfikator CVE

  • CVE-2011-0186: Will Dormann z CERT/CC

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia danych wideo z innej witryny.

  • Opis: w procedurze obsługi przekierowań typu cross-origin przez wtyczkę QuickTime występował błąd przekierowywania między witrynami. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia danych wideo z innej witryny. Ten problem został rozwiązany poprzez uniemożliwienie QuickTime przekierowywania między witrynami. W przypadku systemów Mac OS X 10.6 ten problem został rozwiązany w systemie Mac OS X w wersji 10.6.7. Problem ten nie dotyczy systemów OS X Lion.

  • Identyfikator CVE

  • CVE-2011-0187: Nirankush Panchbhai i Microsoft Vulnerability Research (MSVR)

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: odtworzenie złośliwie spreparowanego pliku WAV może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  • Opis: w procedurze obsługi plików WAV RIFF przez program QuickTime występowało przepełnienie całkowitoliczbowe. Odtworzenie złośliwie spreparowanego pliku WAV może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. W przypadku systemów Mac OS X 10.6 ten problem został rozwiązany w systemie Mac OS X w wersji 10.6.8. Problem ten nie dotyczy systemów OS X Lion.

  • Identyfikator CVE

  • CVE-2011-0209: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy TippingPoint

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

  • Opis: w procedurze obsługi przez program QuickTime przykładowych tabel w plikach filmów w formacie QuickTime występował błąd powodujący uszkodzenie zawartości pamięci. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. W przypadku systemów Mac OS X 10.6 ten problem został rozwiązany w systemie Mac OS X w wersji 10.6.8. Problem ten nie dotyczy systemów OS X Lion.

  • Identyfikator CVE

  • CVE-2011-0210: Honggang Ren z grupy badawczej FortiGuard Labs firmy Fortinet

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

  • Opis: w procedurze obsługi kanałów audio w plikach filmów przez QuickTime występowało przepełnienie całkowitoliczbowe. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. W przypadku systemów Mac OS X 10.6 ten problem został rozwiązany w systemie Mac OS X w wersji 10.6.8. Problem ten nie dotyczy systemów OS X Lion.

  • Identyfikator CVE

  • CVE-2011-0211: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy TippingPoint

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: wyświetlenie złośliwie spreparowanego pliku JPEG może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  • Opis: w procedurze obsługi plików JPEG przez program QuickTime występowało przepełnienie buforu. Wyświetlanie specjalnie spreparowanego pliku JPEG może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. W przypadku systemów Mac OS X 10.6 ten problem został rozwiązany w systemie Mac OS X w wersji 10.6.8. Problem ten nie dotyczy systemów OS X Lion.

  • Identyfikator CVE

  • CVE-2011-0213: Luigi Auriemma współpracujący z iDefense VCP

• QuickTime

  • Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu GIF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  • Opis: w procedurze obsługi obrazów GIF przez QuickTime występowało przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanego obrazu GIF może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem nie występuje na komputerach z systemem Mac OS X.

  • Identyfikator CVE

  • CVE-2011-0246: anonimowy współpracownik pracujący w ramach programu SecuriTeam Secure Disclosure firmy Beyond Security

• QuickTime

  • Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu w formacie H.264 może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  • Opis: w procedurze obsługi plików filmu zakodowanych w formacie H.264 występowały wielokrotne przepełnienia buforu stosu. Wyświetlenie złośliwie spreparowanego pliku filmu w formacie H.264 może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu. Problemy nie dotyczą systemów Mac OS X.

  • Identyfikator CVE

  • CVE-2011-0247: Roi Mallo i Sherab Giovannini w ramach programu Zero Day Initiative firmy TippingPoint

• QuickTime

  • Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny przy użyciu przeglądarki Internet Explorer może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  • Opis: w procedurze obsługi plików QTL przez kontrolki ActiveX w QuickTime występowało przepełnienie buforu stosu. Odwiedzenie złośliwie spreparowanej witryny przez Internet Explorer może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem nie występuje na komputerach z systemem Mac OS X.

  • Identyfikator CVE

  • CVE-2011-0248: Chkr_d591 w ramach programu Zero Day Initiative firmy TippingPoint

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

  • Opis: w procedurze obsługi atomów STSC w plikach wideo przez QuickTime występowało przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. Ten problem nie występuje na komputerach z systemem OS X Lion.

  • Identyfikator CVE

  • CVE-2011-0249: Matt „j00ru” Jurczyk w ramach programu Zero Day Initiative firmy TippingPoint

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

  • Opis: w procedurze obsługi atomów STSS w plikach wideo przez QuickTime występowało przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. Ten problem nie występuje na komputerach z systemem OS X Lion.

  • Identyfikator CVE

  • CVE-2011-0250: Matt „j00ru” Jurczyk w ramach programu Zero Day Initiative firmy TippingPoint

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

  • Opis: w procedurze obsługi atomów STSZ w plikach wideo przez QuickTime występowało przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. Ten problem nie występuje na komputerach z systemem OS X Lion.

  • Identyfikator CVE

  • CVE-2011-0251: Matt „j00ru” Jurczyk w ramach programu Zero Day Initiative firmy TippingPoint

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

  • Opis: w procedurze obsługi atomów STTS w plikach wideo przez QuickTime występowało przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. Ten problem nie występuje na komputerach z systemem OS X Lion.

  • Identyfikator CVE

  • CVE-2011-0252: Matt „j00ru” Jurczyk w ramach programu Zero Day Initiative firmy TippingPoint

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  • Opis: w procedurze obsługi plików PICT występowało przepełnienie buforu stosu. Wyświetlanie złośliwie spreparowanego pliku PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. Ten problem występuje na komputerach z systemem Mac OS X 10.7.

  • Identyfikator CVE

  • CVE-2011-0257: Matt „j00ru” Jurczyk w ramach programu Zero Day Initiative firmy TippingPoint

• QuickTime

  • Dostępne dla: systemów Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  • Opis: w procedurze obsługi atomów uruchomionych ścieżek w plikach wideo przez QuickTime występowało przepełnienie całkowitoliczbowe. Wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu. W przypadku systemów Mac OS X 10.6 ten problem został rozwiązany w systemie Mac OS X w wersji 10.6.8. Problem ten nie dotyczy systemów Mac OS X 10.7.

  • Identyfikator CVE

  • CVE-2011-0256: anonimowy badacz w ramach programu Zero Day Initiative firmy HP

• QuickTime

  • Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

  • Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

  • Opis: w procedurze obsługi opisów obrazów w plikach wideo przez QuickTime występował problem związany z uszkodzeniem pamięci. Ten problem nie występuje na komputerach z systemem Mac OS X.

  • Identyfikator CVE

  • CVE-2011-0258: Damian Put w ramach programu Zero Day Initiative firmy TippingPoint