Sobre o conteúdo de segurança do QuickTime 7.3

Este documento descreve o conteúdo de segurança do QuickTime 7.3, que pode ser baixado e instalado nas preferências "Atualização de Software" ou em "Downloads da Apple".

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo "Como usar a Chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

QuickTime 7.3

QuickTime

CVE-ID: CVE-2007-2395

Disponível para: Mac OS X 10.3.9, Mac OS X 10.4.9 ou posterior, Mac OS X 10.5, Windows Vista, XP SP2

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: há um problema de corrupção de memória no processamento de átomos de descrição de imagem pelo QuickTime. Ao induzir um usuário a abrir um arquivo de filme criado com códigos maliciosos, um invasor pode causar um encerramento inesperado do aplicativo ou execução arbitrária de código. Essa atualização soluciona o problema por meio de uma validação adicional de descrições de imagens do QuickTime. Crédito a Dylan Ashe, da Adobe Systems Incorporated, por relatar esse problema.

QuickTime

CVE-ID: CVE-2007-3750

Disponível para: Mac OS X 10.3.9, Mac OS X 10.4.9 ou posterior, Mac OS X 10.5, Windows Vista, XP SP2

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: há um estouro de buffer de pilha no processamento do QuickTime Player de átomos Sample Table Sample Descriptor (STSD). Ao induzir um usuário a abrir um arquivo de filme criado com códigos maliciosos, um invasor pode causar um encerramento inesperado do aplicativo ou execução arbitrária de código. Essa atualização soluciona o problema por meio de uma validação adicional de átomos STSD. Crédito a Tobias Klein da www.trapkit.de por relatar esse problema.

QuickTime

CVE-ID: CVE-2007-3751

Disponível para: Mac OS X 10.3.9, Mac OS X 10.4.9 ou posterior, Mac OS X 10.5, Windows Vista, XP SP2

Impacto: os applets Java não confiáveis podem obter privilégios elevados.

Descrição: há várias vulnerabilidades no QuickTime para Java, o que pode permitir que applets Java não confiáveis obtenham privilégios elevados. Ao induzir um usuário a visitar uma página da web contendo um applet Java criado maliciosamente, um invasor pode causar a divulgação de informações confidenciais e a execução arbitrária de código com privilégios elevados. Essa atualização resolve os problemas tornando o QuickTime para Java não mais acessível a applets Java não confiáveis. Agradecemos a Adam Gowdiak por comunicar o problema.

QuickTime

CVE-ID: CVE-2007-4672

Disponível para: Mac OS X 10.3.9, Mac OS X 10.4.9 ou posterior, Mac OS X 10.5, Windows Vista, XP SP2

Impacto: a abertura de uma imagem PICT criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: há um estouro de buffer de pilha no processamento de imagem PICT. Ao induzir um usuário a abrir uma imagem criada com códigos maliciosos, um invasor pode causar um encerramento inesperado do aplicativo ou execução arbitrária de código. Essa atualização soluciona o problema por meio de uma validação adicional de arquivos PICT. Agradecemos a Ruben Santamarta da reversemode.com, em parceria com a TippingPoint e a Zero Day Initiative, por informar esse problema.

QuickTime

CVE-ID: CVE-2007-4676

Disponível para: Mac OS X 10.3.9, Mac OS X 10.4.9 ou posterior, Mac OS X 10.5, Windows Vista, XP SP2

Impacto: a abertura de uma imagem PICT criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: há um estouro de buffer de pilha no processamento de imagem PICT. Ao induzir um usuário a abrir uma imagem criada com códigos maliciosos, um invasor pode causar um encerramento inesperado do aplicativo ou execução arbitrária de código. Essa atualização soluciona o problema por meio de uma validação adicional de arquivos PICT. Agradecemos a Ruben Santamarta da reversemode.com, em parceria com a TippingPoint e a Zero Day Initiative, por informar esse problema.

QuickTime

CVE-ID: CVE-2007-4675

Disponível para: Mac OS X 10.3.9, Mac OS X 10.4.9 ou posterior, Mac OS X 10.5, Windows Vista, XP SP2

Impacto: a visualização de um arquivo de filme QTVR criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: há um estouro de buffer de pilha no processamento do QuickTime de átomos de amostra de panorama em arquivos de filme QTVR (Realidade Virtual QuickTime). Ao induzir um usuário a abrir um arquivo de filme QTVR criado com códigos maliciosos, um invasor pode causar um encerramento inesperado do aplicativo ou execução arbitrária de código. Essa atualização resolve o problema realizando a verificação de limites em átomos de amostra panorâmica. Crédito a Mario Ballano da 48bits.com trabalhando com o VeriSign iDefense VCP por relatar esse problema.

QuickTime

CVE-ID: CVE-2007-4677

Disponível para: Mac OS X 10.3.9, Mac OS X 10.4.9 ou posterior, Mac OS X 10.5, Windows Vista, XP SP2

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: há um estouro de buffer de pilha na análise do átomo da tabela de cores ao abrir um arquivo de filme. Ao induzir um usuário a abrir um arquivo de filme criado com códigos maliciosos, um invasor pode causar um encerramento inesperado do aplicativo ou execução arbitrária de código. Essa atualização soluciona o problema por meio de uma validação adicional de átomos de tabela de cores. Crédito a Ruben Santamarta do reversemode.com e Mario Ballano do 48bits.com trabalhando com o TippingPoint e a Zero Day Initiative por relatar esse problema.

QuickTime

CVE-ID: CVE-2007-4674

Disponível para: Mac OS X 10.3.9, Mac OS X 10.4.9 ou posterior, Mac OS X 10.5, Windows Vista, XP SP2

Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: um problema aritmético inteiro no processamento do QuickTime de certos átomos de arquivos de filme pode levar a um estouro de buffer de pilha. Ao induzir um usuário a abrir um arquivo de filme criado com códigos maliciosos, um invasor pode causar um encerramento inesperado do aplicativo ou execução arbitrária de código. Essa atualização resolve o problema por meio do processamento aprimorado de campos de comprimento de átomo em arquivos de filme. Crédito a Cody Pierce do TippingPoint DVLabs por relatar esse problema.