W tym dokumencie opisano zawartość związaną z zabezpieczeniami w programie QuickTime 7.7.2.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.


QuickTime 7.7.2
- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: mechanizm obsługi plików TeXML w programie QuickTime zawiera szereg błędów powodujących przepełnienie stosu. Te problemy nie występują na komputerach z systemem OS X

Identyfikator CVE

CVE-2012-0663: Alexander Gavrun pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi ścieżek tekstowych programu QuickTime istnieje błąd powodujący przepełnienie bufora sterty. Ten problem nie występuje na komputerach z systemem OS X

Identyfikator CVE

CVE-2012-0664: Alexander Gavrun pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi plików filmowych zakodowanych w formacie H.264 występuje błąd powodujący przepełnienie bufora sterty.

Identyfikator CVE

CVE-2012-0665: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: otwarcie złośliwie spreparowanego pliku zakodowanego w formacie MP4 może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi plików zakodowanych w formacie MP4 występuje błąd niezainicjowanego dostępu do pamięci. W przypadku systemu OS X Lion ten problem został rozwiązany w wersji OS X Lion 10.7.3. W przypadku systemu OS X 10.6 ten problem został rozwiązany w Uaktualnieniu zabezpieczeń 2012-001.

Identyfikator CVE

CVE-2011-3458: Luigi Auriemma i użytkownik pa_kt pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi atomów rdrf w plikach filmów programu QuickTime występuje błąd powodujący przepełnienie buforu o jeden. W przypadku systemu OS X Lion ten problem został rozwiązany w wersji OS X Lion 10.7.3. W przypadku systemu OS X 10.6 ten problem został rozwiązany w Uaktualnieniu zabezpieczeń 2012-001.

Identyfikator CVE

CVE-2011-3459: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu podczas pobierania progresywnego może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi tabel próbek audio istnieje błąd powodujący przepełnienie buforu. W przypadku systemu OS X Lion ten problem został rozwiązany w wersji OS X Lion 10.7.4. W przypadku systemu OS X 10.6 ten problem został rozwiązany w Uaktualnieniu zabezpieczeń 2012-002.

Identyfikator CVE

CVE-2012-0658: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy HP.

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku MPEG może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi plików MPEG występuje przepełnienie całkowitoliczbowe. W przypadku systemu OS X Lion ten problem został rozwiązany w wersji OS X Lion 10.7.4. W przypadku systemu OS X 10.6 ten problem został rozwiązany w Uaktualnieniu zabezpieczeń 2012-002.

Identyfikator CVE

CVE-2012-0659: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy HP.

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: w procedurach obsługi obiektów QTMovie przez wtyczkę QuickTime istnieje błąd powodujący przepełnienie bufora. Ten problem nie występuje na komputerach z systemem OS X

Identyfikator CVE

CVE-2012-0666: Użytkownik CHkr_D591 pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu PNG może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi plików PNG występuje błąd powodujący przepełnienie buforu. W przypadku systemu OS X Lion ten problem został rozwiązany w wersji OS X Lion 10.7.3. W przypadku systemu OS X 10.6 ten problem został rozwiązany w Uaktualnieniu zabezpieczeń 2012-001.

Identyfikator CVE

CVE-2011-3460: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu w formacie QTVR może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

Opis: procedury obsługi plików filmowych QTVR zawierają błąd dotyczący stanu podpisu. Ten problem nie występuje na komputerach z systemem OS X

Identyfikator CVE

CVE-2012-0667: Alin Rad Pop pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi plików filmów zakodowanych w formacie JPEG2000 występuje błąd dotyczący użycia po zwolnieniu. Ten problem nie występuje na komputerach z systemami starszymi niż OS X Lion. W systemie OS X Lion ten problem rozwiązano w wersji OS X Lion 10.7.4.

Identyfikator CVE

CVE-2012-0661: Damian Put pracujący w ramach programu Zero Day Initiative firmy HP.

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi plików filmów zakodowanych w formacie RLE występuje przepełnienie buforu.

Identyfikator CVE

CVE-2012-0668: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy HP.

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi plików filmów zakodowanych w formacie Sorenson przez program QuickTime istnieje błąd powodujący przepełnienie buforu. Ten problem nie występuje na komputerach z systemem OS X

Identyfikator CVE

CVE-2012-0669: Damian Put pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi atomów sean przez program QuickTime występuje przepełnienie całkowitoliczbowe.

Identyfikator CVE

CVE-2012-0670: Tom Gallagher (Microsoft) i Paul Bates (Microsoft) pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi plików PICT występuje błąd powodujący uszkodzenie zawartości pamięci.

Identyfikator CVE

CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) z firmy Qualys Vulnerability & Malware Research Labs (VMRL)

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: otwarcie pliku ze złośliwie spreparowaną ścieżką może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi ścieżek plików przez program QuickTime istnieje błąd powodujący przepełnienie bufora. Ten problem nie występuje na komputerach z systemem OS X

Identyfikator CVE

CVE-2012-0265: Tielei Wang z organizacji Georgia Tech Information Security Center w ramach programu Secunia SVCRP

 

- 

- 

QuickTime

Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku MPEG może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi strumieni audio w plikach filmów MPEG przez program QuickTime występuje niedomiar całkowitoliczbowy.

Identyfikator CVE

CVE-2012-0660: Justin Kim z firmy Microsoft i dział Microsoft Vulnerability Research (MSVR)