Informacje o zawartości związanej z zabezpieczeniami w programie QuickTime 7.7.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w programie QuickTime 7.7.3.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

QuickTime 7.7.3

• QuickTime

  Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  Opis: w procedurach obsługi rekordów REGION w plikach PICT występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2011-1374: Mark Yason z działu IBM X-Force

• QuickTime

  Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  Opis: w procedurach obsługi plików PICT występuje błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2012-3757: Jeremy Brown z firmy Microsoft i działu Microsoft Vulnerability Research (MSVR)

• QuickTime

  Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

  Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Opis: w procedurach obsługi parametrów „_qtactivex_” w elemencie obiektu HTML przez wtyczkę programu QuickTime występuje błąd dotyczący użycia po zwolnieniu. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

  Identyfikator CVE

  CVE-2012-3751: użytkownik chkr_d591 pracujący w ramach programu iDefense VCP

• QuickTime

  Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku TeXML programu QuickTime może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  Opis: w procedurach obsługi atrybutu transformacji w elementach text3GTrack występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2012-3758: Alexander Gavrun pracujący w ramach programu Zero Day Initiative firmy HP TippingPoint

• QuickTime

  Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku TeXML programu QuickTime może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  Opis: w procedurach obsługi elementów stylu w plikach TeXML programu QuickTime występuje wiele błędów powodujących przepełnienie buforu. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2012-3752: Arezou Hosseinzad-Amirkhizi, zespół Vulnerability Research Team w firmie TELUS Security Labs

• QuickTime

  Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

  Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Opis: w procedurach obsługi typów MIME przez wtyczkę QuickTime istnieje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2012-3753: Pavel Polischouk, zespół Vulnerability Research Team w firmie TELUS Security Labs

• QuickTime

  Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

  Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Opis: w procedurach obsługi metody Clear() przez formant ActiveX programu QuickTime występuje błąd dotyczący użycia po zwolnieniu. Ten problem rozwiązano przez poprawienie procedur zarządzania pamięcią.

  Identyfikator CVE

  CVE-2012-3754: użytkownik CHkr_d591 pracujący w ramach programu iDefense VCP

• QuickTime

  Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku Targa może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Opis: w procedurach obsługi plików obrazów Targa występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2012-3755: użytkownik Senator of Pirates

• QuickTime

  Dostępne dla: Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

  Opis: w procedurach obsługi ramek „rnet” w plikach MP4 występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2012-3756: Kevin Szkudlapski z firmy QuarksLab