Sobre o conteúdo de segurança do QuickTime 7.5

Este documento descreve o conteúdo de segurança do QuickTime 7.5, que pode ser baixado e instalado nas preferências "Atualização de Software" ou em "Downloads da Apple".

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo "Como usar a Chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

QuickTime 7.5

QuickTime

ID de CVE: CVE-2008-1581

Disponível para: Windows Vista, XP SP2

Impacto: a abertura de um arquivo de imagem PICT criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: um problema no processamento das estruturas PixData pelo QuickTime ao processar uma imagem PICT pode resultar em um estouro de buffer de pilha. A abertura de uma imagem PICT criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma verificação de limites aprimorada. Esse problema não afeta os sistemas que executam o Mac OS X. Crédito a Dyon Balding da Secunia Research por relatar esse problema.

QuickTime

ID de CVE: CVE-2008-1582

Disponível para: Mac OS X 10.3.9, Mac OS X v10.4.9 - 10.4.11, Mac OS X 10.5 ou posterior, Windows Vista, XP SP2

Impacto: abrir conteúdo de mídia codificado com AAC criado com códigos maliciosos poderia causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: há um problema de corrupção de memória no processamento de conteúdo de mídia codificado com AAC pelo QuickTime. A abertura de arquivo de mídia criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma validação adicional de arquivos de mídia. Crédito a Dave Soldera, da NGS Software, e Jens Alfke por relatar esse problema.

QuickTime

ID de CVE: CVE-2008-1583

Disponível para: Mac OS X 10.3.9, Mac OS X 10.4.9 a 10.4.11, Mac OS X 10.5 ou posterior, Windows Vista, XP SP2

Impacto: a abertura de um arquivo de imagem PICT criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: há um estouro de buffer de heap durante o processamento de imagens PICT pelo QuickTime. Abrir um arquivo de imagem PICT criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma verificação de limites aprimorada. Crédito a Liam O Murchu da Symantec por relatar esse problema.

QuickTime

ID de CVE: CVE-2008-1584

Disponível para: Mac OS X 10.3.9, Mac OS X 10.4.9 a v10.4.11, Mac OS X 10.5 ou posterior, Windows Vista, XP SP2

Impacto: visualizar um arquivo de mídia Indeo 4 criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou execução de códigos arbitrários.

Descrição: um problema no processamento de conteúdo de codec de vídeo Indeo pelo QuickTime pode resultar em um estouro de buffer de pilha. A visualização de arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Essa atualização resolve o problema ao não renderizar o conteúdo do codec de vídeo Indeo 4. Agradecemos a um pesquisador anônimo, em parceria com a Zero Day Initiative da TippingPoint, por informar esse problema.

QuickTime

ID de CVE: CVE-2008-1585

Disponível para: Mac OS X 10.3.9, Mac OS X 10.4.9 a v10.4.11, Mac OS X 10.5 ou posterior, Windows Vista, XP SP2

Impacto: reproduzir conteúdo do QuickTime criado com códigos maliciosos no QuickTime Player pode levar à execução arbitrária de códigos.

Descrição: há um problema no processamento de URL ao processar pelo QuickTime o arquivo: URLs. Isso pode permitir que aplicativos e arquivos arbitrários sejam iniciados quando um usuário reproduz conteúdo do QuickTime criado com códigos maliciosos no QuickTime Player. Essa atualização resolve o problema revelando arquivos no Finder ou no Windows Explorer em vez de iniciá-los. Agradecemos a Vinoo Thomas e Rahul Mohandas, do McAfee Avert Labs, e Petko D. (pdp) Petkov, do GNUCITIZEN, em parceria com a Zero Day Initiative da TippingPoint, por informar esse problema.

QuickTime

ID de CVE: CVE-2008-2319

Disponível para: Mac OS X 10.3.9, Mac OS X 10.4.9 a v10.4.11, Mac OS X 10.5 ou posterior, Windows Vista, XP SP2

Impacto: a abertura de um arquivo de imagem PICT criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: um problema de extensão de sinal no processamento de imagens PICT pelo QuickTime poderia levar a um estouro de buffer de pilha. Abrir um arquivo de imagem PICT criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Essa atualização soluciona o problema tratando o valor como não assinado. Crédito a Sergio 'shadown' Alvarez da n.runs AG por relatar esse problema.