Informacje o zawartości związanej z zabezpieczeniami w programie QuickTime 7.7.1
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w programie QuickTime 7.7.1.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
QuickTime 7.7.1
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików wideo z kodowaniem H.264 przez QuickTime występowało przepełnienie buforu. W przypadku komputerów z systemem OS X Lion ten problem rozwiązano w systemie OS X Lion 10.7.2. W przypadku komputerów z systemem Mac OS X 10.6 ten problem rozwiązano w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3219: Damian Put w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować ujawnienie zawartości pamięci.
Opis: w procedurze obsługi danych adresów URL w plikach wideo przez QuickTime występował problem związany z niezainicjowanym dostępem do pamięci. W przypadku komputerów z systemem OS X Lion ten problem rozwiązano w systemie OS X Lion 10.7.2. W przypadku komputerów z systemem Mac OS X 10.6 ten problem rozwiązano w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3220: Luigi Auriemma w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi hierarchii atomów w pliku wideo przez QuickTime występował problem z wdrożeniem. W przypadku komputerów z systemem OS X Lion ten problem rozwiązano w systemie OS X Lion 10.7.2. W przypadku komputerów z systemem Mac OS X 10.6 ten problem rozwiązano w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3221: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: atakujący znajdujący się w uprzywilejowanej pozycji sieciowej może wprowadzić skrypt do domeny lokalnej podczas przeglądania szablonu HTML.
Opis: w procedurze eksportu z wykorzystaniem opcji Save for Web (Zapisz dla sieci) w programie QuickTime Player występował problem umożliwiający przeprowadzenie ataku XSS (cross-site scripting). Pliki HTML szablonu wygenerowane przez tę funkcję odwoływały się do pliku skryptu z niezaszyfrowanego źródła. Atakujący znajdujący się w uprzywilejowanej pozycji sieciowej może być w stanie wprowadzić złośliwe skrypty do domeny lokalnej, jeśli użytkownik wyświetli plik szablonu lokalnie. Problem ten rozwiązano przez usunięcie odniesienia do skryptu online. Ten problem nie występuje na komputerach z systemem OS X Lion. W przypadku systemów Mac OS X 10.6 ten problem został rozwiązany w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3218: Aaron Sigel z vtty.com
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku FlashPix może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików FlashPix przez QuickTime występowało przepełnienie buforu. W przypadku komputerów z systemem OS X Lion ten problem rozwiązano w systemie OS X Lion 10.7.2. W przypadku komputerów z systemem Mac OS X 10.6 ten problem rozwiązano w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3222: Damian Put w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików FLIC przez QuickTime występowało przepełnienie buforu. W przypadku komputerów z systemem OS X Lion ten problem rozwiązano w systemie OS X Lion 10.7.2. W przypadku komputerów z systemem Mac OS X 10.6 ten problem rozwiązano w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3223: Matt „j00ru” Jurczyk pracujący w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików wideo przez QuickTime występowało wiele problemów związanych z uszkodzeniem pamięci. W przypadku systemów OS X Lion problemy te rozwiązano w wersji OS X Lion 10.7.2, a w przypadku systemów Mac OS X 10.6 — w uaktualnieniu zabezpieczeń 2011-006.
Identyfikator CVE
CVE-2011-3228: Apple
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików PICT występował problem związany z przekroczeniem zakresu liczb całkowitych. Ten problem nie występuje na komputerach z systemem Mac OS X.
Identyfikator CVE
CVE-2011-3247: Luigi Auriemma w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi tabel czcionek osadzonych w plikach wideo QuickTime występował problem związany ze znakowością zmiennych.
Identyfikator CVE
CVE-2011-3248: Luigi Auriemma w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików wideo z kodowaniem FLC występował problem związany z przepełnieniem buforu.
Identyfikator CVE
CVE-2011-3249: Matt „j00ru” Jurczyk pracujący w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików wideo z kodowaniem JPEG2000 występował problem związany z przekroczeniem zakresu liczb całkowitych.
Identyfikator CVE
CVE-2011-3250: Luigi Auriemma w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi atomów TKHD w plikach wideo QuickTime występował problem związany z uszkodzeniem pamięci. Ten problem nie występuje na komputerach z systemem Mac OS X.
Identyfikator CVE
CVE-2011-3251: Damian Put w ramach programu Zero Day Initiative firmy TippingPoint
QuickTime
Dostępne dla: Windows 7, Vista, XP SP2 i nowszych
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku wideo może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików wideo z kodowaniem RLE przez QuickTime występowało przepełnienie buforu. Ten problem nie występuje na komputerach z systemem Mac OS X.
Identyfikator CVE
CVE-2011-3428: Luigi Auriemma w ramach programu Zero Day Initiative firmy TippingPoint
Ważne: wzmianka o witrynach internetowych i produktach osób trzecich ma charakter wyłącznie informacyjny i nie stanowi rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności w związku z wyborem, działaniem lub korzystaniem z informacji lub produktów znalezionych w witrynach internetowych osób trzecich. Apple podaje je tylko jako udogodnienie dla naszych użytkowników. Firma Apple nie przetestowała informacji znalezionych w tych witrynach i nie składa żadnych oświadczeń dotyczących ich dokładności lub wiarygodności. Korzystanie z jakichkolwiek informacji lub produktów znalezionych w Internecie wiąże się z ryzykiem, a Apple nie ponosi żadnej odpowiedzialności w tym zakresie. Należy pamiętać, że witryna osoby trzeciej jest niezależna od Apple i że Apple nie ma kontroli nad zawartością tej witryny. Dodatkowe informacje można uzyskać, kontaktując się z dostawcą.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.