Acerca dos conteúdos de segurança do QuickTime 7.1.5
Este documento descreve os conteúdos de segurança do QuickTime 7.1.5.
Este documento descreve os conteúdos de segurança do QuickTime 7.1.5, que podem ser descarregados e instalados através das preferências da Atualização de software ou aqui.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple."
Atualização do QuickTime 7.1.5
QuickTime
ID CVE: CVE-2007-0711
Disponível para: Windows Vista/XP/2000
Impacto: ao visualizar um ficheiro 3GP criado com intuito malicioso poderá provocar uma falha na aplicação ou a execução de um código arbitrário.
Descrição: existe um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros de vídeo 3GP do QuickTime. Ao induzir um utilizador a abrir um filme malicioso, um atacante poderá causar a ultrapassagem do limite máximo, o que poderá provocar uma falha na aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar uma validação adicional de ficheiros de vídeo 3GP. Este problema não afeta o Mac OS X. Os nossos agradecimentos a JJ Reyes por ter comunicado este problema.
QuickTime
ID CVE: CVE-2007-0712
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: ao visualizar um ficheiro MIDI criado com intuito malicioso poderá provocar uma falha na aplicação ou a execução de um código arbitrário.
Descrição: existe um problema de ultrapassagem do limite máximo do buffer da área dinâmica para dados no processamento de ficheiros MIDI pelo QuickTime. Ao induzir um utilizador a abrir um ficheiro MIDI malicioso, um atacante poderá causar a ultrapassagem do limite máximo, o que poderá provocar uma falha na aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar uma validação adicional de ficheiros MIDI. Os nossos agradecimentos a Mike Price da McAfee AVERT Labs por ter comunicado este problema.
QuickTime
ID CVE: CVE-2007-0713
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: ao visualizar um ficheiro de filmes do QuickTime criado com intuito malicioso poderá provocar uma falha na aplicação ou a execução de um código arbitrário.
Descrição: existe um problema de ultrapassagem do limite máximo do buffer da área dinâmica para dados no processamento de ficheiros de filmes do QuickTime, por parte do QuickTime. Ao induzir um utilizador a aceder a um filme criado com intuito malicioso, um atacante poderá causar a ultrapassagem do limite máximo, o que poderá provocar uma falha na aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar uma validação adicional de filmes do QuickTime. Os nossos agradecimentos a Mike Price da McAfee AVERT Labs, Piotr Bania e Artur Ogloza por terem comunicado este problema.
QuickTime
ID CVE: CVE-2007-0714
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: ao visualizar um ficheiro de filmes do QuickTime criado com intuito malicioso poderá provocar uma falha na aplicação ou a execução de um código arbitrário.
Descrição: existe um problema de ultrapassagem do limite máximo de números inteiros no processamento de átomos UDTA em ficheiros de filmes do QuickTime. Ao induzir um utilizador a aceder a um filme criado com intuito malicioso, um atacante poderá causar a ultrapassagem do limite máximo, o que poderá provocar uma falha na aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar uma validação adicional de filmes do QuickTime. Os nossos agradecimentos a Sowhat do Nevis Labs e a um investigador anónimo em colaboração com a TippingPoint e o programa Zero Day Initiative por terem comunicado este problema.
QuickTime
ID CVE: CVE-2007-0715
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: ao visualizar um ficheiro PICT criado com intuito malicioso poderá provocar uma falha na aplicação ou a execução de um código arbitrário.
Descrição: existe um problema de ultrapassagem do limite máximo do buffer da área dinâmica para dados no processamento de ficheiros PICT do QuickTime. Ao induzir um utilizador a abrir um ficheiro de imagem PICT malicioso, um atacante poderá causar a ultrapassagem do limite máximo, o que poderá provocar a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar uma validação adicional de ficheiros PICT. Os nossos agradecimentos a Mike Price da McAfee AVERT Labs por ter comunicado este problema.
QuickTime
ID CVE: CVE-2007-0716
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: ao abrir um ficheiro QTIF criado com intuito malicioso poderá provocar uma falha na aplicação ou a execução de um código arbitrário.
Descrição: existe um problema de ultrapassagem do limite máximo do buffer da pilha no processamento de ficheiros QTIF do QuickTime. Ao induzir um utilizador a aceder a um ficheiro QTIF criado com intuito malicioso, um atacante poderá causar a ultrapassagem do limite máximo, o que poderá provocar uma falha na aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar uma validação adicional de ficheiros QTIF. Os nossos agradecimentos a Mike Price da McAfee AVERT Labs por ter comunicado este problema.
QuickTime
ID CVE: CVE-2007-0717
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: ao abrir um ficheiro QTIF criado com intuito malicioso poderá provocar uma falha na aplicação ou a execução de um código arbitrário.
Descrição: existe um problema de ultrapassagem do limite máximo de números inteiros no processamento de ficheiros QTIF pelo QuickTime. Ao induzir um utilizador a aceder a um ficheiro QTIF criado com intuito malicioso, um atacante poderá causar a ultrapassagem do limite máximo, o que poderá provocar uma falha na aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar uma validação adicional de ficheiros QTIF. Os nossos agradecimentos a Mike Price da McAfee AVERT Labs por ter comunicado este problema.
QuickTime
ID CVE: CVE-2007-0718
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: ao abrir um ficheiro QTIF criado com intuito malicioso poderá provocar uma falha na aplicação ou a execução de um código arbitrário.
Descrição: existe um problema de ultrapassagem do limite máximo do buffer da área dinâmica para dados no processamento de ficheiros QTIF pelo QuickTime. Ao induzir um utilizador a aceder a um ficheiro QTIF criado com intuito malicioso, um atacante poderá causar a ultrapassagem do limite máximo, o que poderá provocar uma falha na aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar uma validação adicional de ficheiros QTIF. Os nossos agradecimentos a Ruben Santamarta em colaboração com o iDefense Vulnerability Contributor Program e a JJ Reyes por terem comunicado este problema.
QuickTime
ID CVE: CVE-2006-4965, CVE-2007-0059
Disponível para: Mac OS X v10.3.9 e posterior, Windows Vista/XP/2000
Impacto: ao visualizar um ficheiro de filmes do QuickTime ou ficheiro QTL criado com intuito malicioso poderá provocar a execução de um código JavaScript arbitrário no contexto de domínio local.
Descrição: existe um problema de execução de scripts entre zonas no plug-in do navegador do QuickTime. Ao induzir um utilizador a abrir um ficheiro de filmes do QuickTime ou ficheiro QTL malicioso, um atacante poderá desencadear o problema, o que poderá provocar a execução de um código JavaScript arbitrário no contexto de domínio local. Este problema foi descrito no site Month of Apple Bugs (MOAB-03-01-2007). Esta atualização resolve o problema ao efetuar as seguintes alterações ao processamento dos URL no atributo qtnext de ficheiros QTL e HREFTracks em filmes do QuickTime. Só são permitidos os URL "http:" e "https:" se o filme for carregado a partir de um site remoto. Só são permitidos os URL "file:" se o filme for carregado localmente.
O QuickTime 7.1.5 para Mac ou Windows pode ser obtido através da Atualização de software ou como uma descarga manual em: http://www.apple.com/pt/quicktime/download/.