Acerca dos conteúdos de segurança do QuickTime 7.4

Este documento descreve os conteúdos de segurança do QuickTime 7.4, que podem ser descarregados e instalados através das preferências da Atualização de software ou a partir das Descargas da Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações acerca da chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações acerca de outras atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

QuickTime 7.4

QuickTime

CVE-ID: CVE-2008-0031

Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 ou posterior, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

Descrição: existe um problema de corrupção de memória no processamento de ficheiros de vídeo Sorenson 3 por parte do QuickTime. Tal poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar a validação adicional de ficheiros de vídeo Sorenson 3. Os nossos agradecimentos a Joe Schottman da Virginia Tech por ter comunicado este problema.

QuickTime

CVE-ID: CVE-2008-0032

Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 ou posterior, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

Descrição: existe um problema de corrupção de memória no processamento de registos de recursos Macintosh em ficheiros de filme por parte do QuickTime. Abrir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar a validação adicional de ficheiros de filme. Os nossos agradecimentos a Jun Mao da VeriSign iDefense Labs por ter comunicado este problema.

QuickTime

CVE-ID: CVE-2008-0033

Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 ou posterior, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

Descrição: existe um problema de corrupção de memória na análise de átomos Image Descriptor (IDSC) por parte do QuickTime. Abrir um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar a validação adicional dos átomos Image Descriptor em ficheiros de filme. Os nossos agradecimentos a Cody Pierce da TippingPoint DVLabs por ter comunicado este problema.

QuickTime

CVE-ID: CVE-2008-0036

Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 ou posterior, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2

Impacto: abrir uma imagem PICT criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.

Descrição: poderá ocorrer um problema de ultrapassagem do limite máximo do buffer durante o processamento de uma imagem PICT comprimida. Impacto: abrir um ficheiro comprimido PICT criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao terminar a descodificação quando o resultado for para além do fim do buffer de destino. Os nossos agradecimentos a Chris Ries dos Computing Services da Universidade Carnegie Mellon por ter comunicado este problema.