Acerca do conteúdo de segurança do QuickTime 7.3

Este documento descreve o conteúdo de segurança do QuickTime 7.3, que pode ser descarregado e instalado através das preferências da Atualização de software ou a partir das Descargas da Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple".

QuickTime 7.3

QuickTime

ID CVE: CVE-2007-2395

Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 ou posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

Descrição: existe um problema de corrupção de memória no tratamento de átomos de descrição de imagem do QuickTime. Ao aliciar um utilizador a abrir um ficheiro de filme malicioso, um atacante pode causar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta atualização resolve o problema ao efetuar validação adicional das descrições de imagem do QuickTime. Os nossos agradecimentos a Dylan Ashe, da Adobe Systems Incorporated, por comunicar este problema.

QuickTime

ID CVE: CVE-2007-3750

Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 ou posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

Descrição: existe um excesso do limite do buffer da memória temporária no tratamento de átomos Sample Table Sample Descriptor (STSD) do QuickTime Player. Ao aliciar um utilizador a abrir um ficheiro de filme malicioso, um atacante pode causar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta atualização resolve o problema ao efetuar a validação adicional de átomos STSD. Os nossos agradecimentos a Tobias Klein, da www.trapkit.de, por comunicar este problema.

QuickTime

ID CVE: CVE-2007-3751

Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 ou posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: aplicações Java não fidedignas podem obter privilégios elevados.

Descrição: existem várias vulnerabilidades no QuickTime for Java, que podem permitir que aplicações Java não fidedignas obtenham privilégios elevados. Ao aliciar um utilizador a visitar uma página web contendo uma aplicação Java maliciosa, um atacante pode provocar a divulgação de informações confidenciais e a execução de código arbitrário com privilégios elevados. Esta atualização resolve os problemas ao tornar o QuickTime for Java inacessível a aplicações Java não fidedignas. Os nossos agradecimentos a Adam Gowdiak por comunicar este problema.

QuickTime

ID CVE: CVE-2007-4672

Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 ou posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: abrir uma imagem PICT maliciosa pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

Descrição: existe um excesso do limite do buffer da pilha no processamento da imagem PICT. Ao aliciar um utilizador a abrir uma imagem maliciosa, um atacante pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta atualização resolve o problema ao efetuar a validação adicional dos ficheiros PICT. Os nossos agradecimentos a Ruben Santamarta, da reversemode.com, que trabalha com a TippingPoint e a Zero Day Initiative, por comunicar este problema.

QuickTime

ID CVE: CVE-2007-4676

Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 ou posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: abrir uma imagem PICT maliciosa pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

Descrição: existe um excesso do limite do buffer da memória temporária no processamento da imagem PICT. Ao aliciar um utilizador a abrir uma imagem maliciosa, um atacante pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta atualização resolve o problema ao efetuar a validação adicional dos ficheiros PICT. Os nossos agradecimentos a Ruben Santamarta, da reversemode.com, que trabalha com a TippingPoint e a Zero Day Initiative, por comunicar este problema.

QuickTime

ID CVE: CVE-2007-4675

Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 ou posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: visualizar um ficheiro de filme QTVR malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

Descrição: existe um excesso do limite do buffer da memória temporária no tratamento do panorama de átomos de exemplo do QuickTime nos ficheiros de filme QTVR (QuickTime Virtual Reality). Ao aliciar um utilizador a visualizar um ficheiro QTVR malicioso, um atacante pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta virtualização resolve o problema ao efetuar a verificação dos limites nos átomos de exemplo do panorama. Os nossos agradecimentos a Mario Ballano, da 48bits.com, que trabalha com a VeriSign iDefense VCP, por comunicar este problema.

QuickTime

ID CVE: CVE-2007-4677

Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 ou posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

Descrição: existe um excesso do limite do buffer da memória temporária na análise da tabela de cores do átomo quando se abre um ficheiro de filme. Ao aliciar um utilizador a abrir um ficheiro de filme malicioso, um atacante pode causar o encerramento inesperado da aplicação ou a execução de código arbitrário. Esta atualização resolve o problema ao efetuar a validação adicional dos átomos da tabela de cores. Os nossos agradecimentos a Ruben Santamarta, da reversemode.com, e Mario Ballano, da 48bits.com, que trabalham com a TippingPoint e a Zero Day Initiative, por comunicarem este problema.

QuickTime

ID CVE: CVE-2007-4674

Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 ou posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: visualizar um ficheiro de filme criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.

Descrição: um problema aritmético com números inteiros, ao manusear no QuickTime certos elementos atómicos de ficheiros de filmes, pode fazer extravasar o buffer da pilha. Ao levar um utilizador a visualizar um ficheiro de filme produzido com más intenções, um atacante pode provocar o encerramento inesperado de uma aplicação ou a execução arbitrária de código. Esta atualização corrige esse problema, melhorando o manuseamento de campos de comprimento atómico nos ficheiros de filmes. Os nossos agradecimentos a Cody Pierce dos TippingPoint DVLabs por comunicar este problema.