Despre conținutul de securitate din QuickTime 7.3

Acest document descrie conținutul de securitate din QuickTime 7.3, care poate fi descărcat și instalat din preferințele Actualizare software sau din Descărcări Apple.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple.”

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.

QuickTime 7.3

QuickTime

CVE-ID: CVE-2007-2395

Disponibilitate pentru: Mac OS X v10.3.9, Mac OS X v10.4.9 sau o versiune ulterioară, Mac OS X v10.5, Windows Vista, XP SP2

Impact: vizualizarea unui fișier film creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar.

Descriere: există o problemă de alterare a memoriei la tratarea de către QuickTime a atomilor de descriere a imaginii. Prin ademenirea unui utilizator să deschidă un fișier film creat cu rea intenție, un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a descrierilor imaginilor QuickTime. Îi mulțumim lui Dylan Ashe de la Adobe Systems Incorporated pentru semnalarea acestei probleme.

QuickTime

CVE-ID: CVE-2007-3750

Disponibilitate pentru: Mac OS X v10.3.9, Mac OS X v10.4.9 sau o versiune ulterioară, Mac OS X v10.5, Windows Vista, XP SP2

Impact: vizualizarea unui fișier film creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar.

Descriere: există o depășire a zonei tampon din memoria heap la tratarea de către QuickTime Player a atomilor Sample Table Sample Descriptor (STSD). Prin ademenirea unui utilizator să deschidă un fișier film creat cu rea intenție, un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a atomilor STSD. Îi mulțumim lui Tobias Klein de la www.trapkit.de pentru semnalarea acestei probleme.

QuickTime

CVE-ID: CVE-2007-3751

Disponibilitate pentru: Mac OS X v10.3.9, Mac OS X v10.4.9 sau o versiune ulterioară, Mac OS X v10.5, Windows Vista, XP SP2

Impact: applet-uri Java care nu sunt de încredere pot obține privilegii ridicate.

Descriere: există mai multe vulnerabilități în QuickTime pentru Java, care pot permite applet-urilor Java care nu sunt de încredere să obțină privilegii ridicate. Prin ademenirea unui utilizator să viziteze o pagină web care conține un applet Java creat cu rea intenție, un atacator poate cauza divulgarea de informații sensibile și executarea de cod arbitrar cu privilegii ridicate. Această actualizare soluționează problemele prin faptul că QuickTime pentru Java nu mai este accesibil applet-urilor Java care nu sunt de încredere. Îi mulțumim lui Adam Gowdiak pentru semnalarea acestei probleme.

QuickTime

CVE-ID: CVE-2007-4672

Disponibilitate pentru: Mac OS X v10.3.9, Mac OS X v10.4.9 sau o versiune ulterioară, Mac OS X v10.5, Windows Vista, XP SP2

Impact: deschiderea unei imagini PICT create cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar.

Descriere: există o depășire a zonei tampon din memoria stivă la procesarea imaginilor PICT. Prin ademenirea unui utilizator să deschidă o imagine creată cu rea intenție, un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a fișierelor PICT. Îi mulțumim lui Ruben Santamarta de la reversemode.com în colaborare cu TippingPoint și Zero Day Initiative pentru semnalarea acestei probleme.

QuickTime

CVE-ID: CVE-2007-4676

Disponibilitate pentru: Mac OS X v10.3.9, Mac OS X v10.4.9 sau o versiune ulterioară, Mac OS X v10.5, Windows Vista, XP SP2

Impact: deschiderea unei imagini PICT create cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar.

Descriere: există o depășire a zonei tampon din memoria heap la procesarea imaginilor PICT. Prin ademenirea unui utilizator să deschidă o imagine creată cu rea intenție, un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a fișierelor PICT. Îi mulțumim lui Ruben Santamarta de la reversemode.com în colaborare cu TippingPoint și Zero Day Initiative pentru semnalarea acestei probleme.

QuickTime

CVE-ID: CVE-2007-4675

Disponibilitate pentru: Mac OS X v10.3.9, Mac OS X v10.4.9 sau o versiune ulterioară, Mac OS X v10.5, Windows Vista, XP SP2

Impact: vizualizarea unui film QTVR creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar.

Descriere: există o depășire a zonei tampon din memoria heap la tratarea de către QuickTime a atomilor de eșantionare a panoramei în fișierele de film QTVR (QuickTime Virtual Reality). Prin ademenirea unui utilizator să vizualizeze un fișier QTVR creat cu rea intenție, un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin verificarea limitelor pe atomii de eșantionare a panoramei. Îi mulțumim lui Mario Ballano de la 48bits.com în colaborare cu VeriSign iDefense VCP pentru semnalarea acestei probleme.

QuickTime

CVE-ID: CVE-2007-4677

Disponibilitate pentru: Mac OS X v10.3.9, Mac OS X v10.4.9 sau o versiune ulterioară, Mac OS X v10.5, Windows Vista, XP SP2

Impact: vizualizarea unui fișier film creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar.

Descriere: există o depășire a zonei tampon din memoria heap la analizarea atomului de tabel de culori la deschiderea unui fișier film. Prin ademenirea unui utilizator să deschidă un fișier film creat cu rea intenție, un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a atomilor de tabel de culori. Le mulțumim lui Ruben Santamarta de la reversemode.com și lui Mario Ballano de la 48bits.com în colaborare cu TippingPoint și Zero Day Initiative pentru semnalarea acestei probleme.

QuickTime

CVE-ID: CVE-2007-4674

Disponibilitate pentru: Mac OS X v10.3.9, Mac OS X v10.4.9 sau o versiune ulterioară, Mac OS X v10.5, Windows Vista, XP SP2

Impact: vizualizarea unui fișier film creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar.

Descriere: o problemă de aritmetică a numerelor întregi la tratarea de către QuickTime a anumitor atomi de fișiere film poate duce la o depășire a zonei tampon din memoria stivă. Prin ademenirea unui utilizator să deschidă un fișier film creat cu rea intenție, un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin tratarea îmbunătățită a câmpurilor de lungime a atomilor din fișierele film. Îi mulțumim lui Cody Pierce de la TippingPoint DVLabs pentru semnalarea acestei probleme.