Sobre o conteúdo de segurança do QuickTime 7.1.5
Este documento descreve o conteúdo de segurança do QuickTime 7.1.5.
Este documento descreve o conteúdo de segurança do QuickTime 7.1.5, que pode ser baixado e instalado nas preferências "Atualização de Software" ou aqui.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".
Atualização do QuickTime 7.1.5
QuickTime
ID de CVE: CVE-2007-0711
Disponível para: Windows Vista/XP/2000
Impacto: a visualização de um arquivo 3GP criado com códigos maliciosos pode levar à falha do aplicativo ou à execução arbitrária de códigos.
Descrição: há um estouro de número inteiro no processamento de arquivos de vídeo 3GP pelo QuickTime. Ao induzir um usuário a abrir um filme criado com códigos maliciosos, um invasor pode acionar o estouro, o que pode levar a uma falha do aplicativo ou à execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma validação adicional de arquivos de vídeo 3GP. Esse problema não afeta o Mac OS X. Agradecemos a JJ Reyes por informar esse problema.
QuickTime
ID de CVE: CVE-2007-0712
Disponível para: Mac OS X 10.3.9 e posterior, Windows Vista/XP/2000
Impacto: a visualização de um arquivo MIDI criado com códigos maliciosos pode levar à falha do aplicativo ou à execução arbitrária de códigos.
Descrição: há um estouro de buffer de heap durante o processamento de arquivos MIDI pelo QuickTime. Ao induzir um usuário a abrir um arquivo MIDI criado com códigos maliciosos, um invasor pode acionar o estouro, o que pode levar a uma falha do aplicativo ou à execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma validação adicional de arquivos MIDI. Agradecemos a Mike Price, do McAfee AVERT Labs, por informar esse problema.
QuickTime
ID de CVE: CVE-2007-0713
Disponível para: Mac OS X 10.3.9 e posterior, Windows Vista/XP/2000
Impacto: a visualização de um arquivo de filme do QuickTime criado com códigos maliciosos pode levar à falha do aplicativo ou à execução arbitrária de códigos.
Descrição: há um estouro de buffer de heap no processamento de arquivos de filme do QuickTime pelo QuickTime. Ao induzir um usuário a acessar um filme criado com códigos maliciosos, um invasor pode acionar o estouro, o que pode levar a uma falha do aplicativo ou à execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma validação adicional de filmes QuickTime. Agradecemos a Mike Price, do McAfee AVERT Labs, Piotr Bania e Artur Ogloza por informar esse problema.
QuickTime
ID de CVE: CVE-2007-0714
Disponível para: Mac OS X 10.3.9 e posterior, Windows Vista/XP/2000
Impacto: a visualização de um arquivo de filme do QuickTime criado com códigos maliciosos pode levar à falha do aplicativo ou à execução arbitrária de códigos.
Descrição: há um estouro de número inteiro no processamento do QuickTime de átomos UDTA em arquivos de filme. Ao induzir um usuário a acessar um filme criado com códigos maliciosos, um invasor pode acionar o estouro, o que pode levar a uma falha do aplicativo ou à execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma validação adicional de filmes QuickTime. Agradecemos a Sowhat, da Nevis Labs, e a um pesquisador anônimo em parceria com a TippingPoint e a Zero Day Initiative por informar esse problema.
QuickTime
ID de CVE: CVE-2007-0715
Disponível para: Mac OS X 10.3.9 e posterior, Windows Vista/XP/2000
Impacto: a visualização de um arquivo PICT criado com códigos maliciosos pode levar à falha do aplicativo ou à execução arbitrária de códigos.
Descrição: há um estouro de buffer de heap durante o processamento de arquivos PICT pelo QuickTime. Ao induzir um usuário a abrir um arquivo de imagem PICT criado com códigos maliciosos, um invasor pode acionar o estouro, o que pode levar à execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma validação adicional de arquivos PICT. Agradecemos a Mike Price, do McAfee AVERT Labs, por informar esse problema.
QuickTime
ID de CVE: CVE-2007-0716
Disponível para: Mac OS X 10.3.9 e posterior, Windows Vista/XP/2000
Impacto: abrir um arquivo QTIF criado com códigos maliciosos pode causar falha no aplicativo ou à execução arbitrária de códigos.
Descrição: há um estouro de buffer de pilha durante o processamento de arquivos QTIF pelo QuickTime. Ao induzir um usuário a acessar um arquivo QTIF criado com códigos maliciosos, um invasor pode acionar o estouro, o que pode levar a uma falha do aplicativo ou à execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma validação adicional de arquivos QTIF. Agradecemos a Mike Price, do McAfee AVERT Labs, por informar esse problema.
QuickTime
ID de CVE: CVE-2007-0717
Disponível para: Mac OS X 10.3.9 e posterior, Windows Vista/XP/2000
Impacto: abrir um arquivo QTIF criado com códigos maliciosos pode causar falha no aplicativo ou à execução arbitrária de códigos.
Descrição: há um estouro de número inteiro durante o processamento de arquivos QTIF pelo QuickTime. Ao induzir um usuário a acessar um arquivo QTIF criado com códigos maliciosos, um invasor pode acionar o estouro, o que pode levar a uma falha do aplicativo ou à execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma validação adicional de arquivos QTIF. Agradecemos a Mike Price, do McAfee AVERT Labs, por informar esse problema.
QuickTime
ID de CVE: CVE-2007-0718
Disponível para: Mac OS X 10.3.9 e posterior, Windows Vista/XP/2000
Impacto: abrir um arquivo QTIF criado com códigos maliciosos pode causar falha no aplicativo ou à execução arbitrária de códigos.
Descrição: há um estouro de buffer de heap durante o processamento de arquivos QTIF pelo QuickTime. Ao induzir um usuário a acessar um arquivo QTIF criado com códigos maliciosos, um invasor pode acionar o estouro, o que pode levar a uma falha do aplicativo ou à execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma validação adicional de arquivos QTIF. Agradecemos a Ruben Santamarta, em parceria com o iDefense Vulnerability Contributor Program, e JJ Reyes por informar esse problema.
QuickTime
ID de CVE: CVE-2006-4965, CVE-2007-0059
Disponível para: Mac OS X 10.3.9 e posterior, Windows Vista/XP/2000
Impacto: visualizar um arquivo de filme QuickTime ou arquivo QTL criado com códigos maliciosos pode levar à execução arbitrária de códigos JavaScript no contexto do domínio local.
Descrição: há um problema de script entre zonas no plug-in do navegador do QuickTime. Ao induzir um usuário a abrir um arquivo de filme QuickTime ou arquivo QTL criados com códigos maliciosos, um invasor pode desencadear o problema, o que pode levar à execução arbitrária de códigos JavaScript no contexto do domínio local. Esse problema foi descrito no site Month of Apple Bugs (MOAB-03-01-2007). Essa atualização resolve o problema fazendo as seguintes alterações no processamento de URLs no atributo qtnext de arquivos QTL e HREFTracks em filmes QuickTime. Somente URLs "http:" e "https:" serão permitidos se o filme for carregado de um site remoto. Somente URLs "file:" serão permitidos se o filme for carregado localmente.
O QuickTime 7.1.5 para Mac ou Windows pode ser obtido em "Atualização de Software" ou como um download manual em: http://www.apple.com/br/quicktime/download/.