Despre conținutul de securitate din QuickTime 7.1.5
Acest document descrie conținutul de securitate din QuickTime 7.1.5
Acest document descrie conținutul de securitate din QuickTime 7.1.5, care poate fi descărcat și instalat din preferințele Actualizare software sau de aici.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple.”
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple.”
Actualizarea QuickTime 7.1.5
QuickTime
CVE-ID: CVE-2007-0711
Disponibilitate pentru: Windows Vista/XP/2000
Impact: vizualizarea unui fișier 3GP creat cu rea intenție poate cauza oprirea subită a unei aplicații sau executarea unui cod arbitrar.
Descriere: există o depășire de întreg la tratarea fișierelor video 3GP de către QuickTime. Prin ademenirea unui utilizator să deschidă un film creat cu rea intenție, un atacator poate declanșa depășirea, care poate cauza oprirea subită a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a fișierelor video 3GP. Această problemă nu afectează Mac OS X. Îi mulțumim lui JJ Reyes pentru semnalarea acestei probleme.
QuickTime
CVE-ID: CVE-2007-0712
Disponibilitate pentru: Mac OS X v10.3.9 și versiuni ulterioare, Windows Vista/XP/2000
Impact: vizualizarea unui fișier MIDI creat cu rea intenție poate cauza oprirea subită a unei aplicații sau executarea unui cod arbitrar.
Descriere: există o depășire a zonei tampon din memoria heap la tratarea de către QuickTime a fișierelor MIDI. Prin ademenirea unui utilizator să deschidă un fișier MIDI creat cu rea intenție, un atacator poate declanșa depășirea, care poate cauza oprirea subită a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a fișierelor MIDI. Îi mulțumim lui Mike Price de la McAfee AVERT Labs pentru semnalarea acestei probleme.
QuickTime
CVE-ID: CVE-2007-0713
Disponibilitate pentru: Mac OS X v10.3.9 și versiuni ulterioare, Windows Vista/XP/2000
Impact: vizualizarea unui fișier film QuickTime creat cu rea intenție poate cauza oprirea subită a unei aplicații sau executarea unui cod arbitrar.
Descriere: există o depășire a zonei tampon din memoria heap la tratarea de către QuickTime a fișierelor film. Prin ademenirea unui utilizator să deschidă un film creat cu rea intenție, un atacator poate declanșa depășirea, care poate cauza oprirea subită a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a filmelor QuickTime. Le mulțumim lui Mike Price de la McAfee AVERT Labs, lui Piotr Bania și lui Artur Ogloza pentru semnalarea acestei probleme.
QuickTime
CVE-ID: CVE-2007-0714
Disponibilitate pentru: Mac OS X v10.3.9 și versiuni ulterioare, Windows Vista/XP/2000
Impact: vizualizarea unui fișier film QuickTime creat cu rea intenție poate cauza oprirea subită a unei aplicații sau executarea unui cod arbitrar.
Descriere: există o depășire de întreg la tratarea de către QuickTime a atomilor UDTA în fișierele film. Prin ademenirea unui utilizator să deschidă un film creat cu rea intenție, un atacator poate declanșa depășirea, care poate cauza oprirea subită a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a filmelor QuickTime. Le mulțumim lui Sowhat de la Nevis Labs și unui cercetător anonim în colaborare cu TippingPoint și Zero Day Initiative pentru semnalarea acestei probleme.
QuickTime
CVE-ID: CVE-2007-0715
Disponibilitate pentru: Mac OS X v10.3.9 și versiuni ulterioare, Windows Vista/XP/2000
Impact: vizualizarea unui fișier PICT creat cu rea intenție poate cauza oprirea subită a unei aplicații sau executarea unui cod arbitrar.
Descriere: există o depășire a zonei tampon din memoria heap la tratarea de către QuickTime a fișierelor PICT. Prin ademenirea unui utilizator să deschidă un fișier PICT creat cu rea intenție, un atacator poate declanșa depășirea, care poate cauza executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a fișierelor PICT. Îi mulțumim lui Mike Price de la McAfee AVERT Labs pentru semnalarea acestei probleme.
QuickTime
CVE-ID: CVE-2007-0716
Disponibilitate pentru: Mac OS X v10.3.9 și versiuni ulterioare, Windows Vista/XP/2000
Impact: deschiderea unui fișier QTIF creat cu rea intenție poate cauza oprirea subită a unei aplicații sau executarea unui cod arbitrar.
Descriere: există o depășire a zonei tampon din memoria stivă la tratarea de către QuickTime a fișierelor QTIF. Prin ademenirea unui utilizator să deschidă un fișier QTIF creat cu rea intenție, un atacator poate declanșa depășirea, care poate cauza o oprire subită a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a fișierelor QTIF. Îi mulțumim lui Mike Price de la McAfee AVERT Labs pentru semnalarea acestei probleme.
QuickTime
CVE-ID: CVE-2007-0717
Disponibilitate pentru: Mac OS X v10.3.9 și versiuni ulterioare, Windows Vista/XP/2000
Impact: deschiderea unui fișier QTIF creat cu rea intenție poate cauza oprirea subită a unei aplicații sau executarea unui cod arbitrar.
Descriere: există o depășire de întreg la tratarea fișierelor QTIF de către QuickTime. Prin ademenirea unui utilizator să deschidă un fișier QTIF creat cu rea intenție, un atacator poate declanșa depășirea, care poate cauza o oprire subită a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a fișierelor QTIF. Îi mulțumim lui Mike Price de la McAfee AVERT Labs pentru semnalarea acestei probleme.
QuickTime
CVE-ID: CVE-2007-0718
Disponibilitate pentru: Mac OS X v10.3.9 și versiuni ulterioare, Windows Vista/XP/2000
Impact: deschiderea unui fișier QTIF creat cu rea intenție poate cauza oprirea subită a unei aplicații sau executarea unui cod arbitrar.
Descriere: există o depășire a zonei tampon din memoria heap la tratarea de către QuickTime a fișierelor QTIF. Prin ademenirea unui utilizator să deschidă un fișier QTIF creat cu rea intenție, un atacator poate declanșa depășirea, care poate cauza o oprire subită a aplicației sau executarea unui cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a fișierelor QTIF. Îi mulțumim lui Ruben Santamarta, în colaborare cu iDefense Vulnerability Contributor Program și lui JJ Reyes pentru semnalarea acestei probleme.
QuickTime
CVE-ID: CVE-2006-4965, CVE-2007-0059
Disponibilitate pentru: Mac OS X v10.3.9 și versiuni ulterioare, Windows Vista/XP/2000
Impact: vizualizarea unui fișier film QuickTime sau a unui fișier QTL creat cu rea intenție poate duce la executarea de cod JavaScript arbitrar în contextul domeniului local.
Descriere: există o problemă legată de scripturi între zone în pluginul de browser QuickTime. Prin ademenirea unui utilizator să deschidă un fișier fișier film QuickTime sau un fișier QTL creat cu rea intenție, un atacator poate declanșa problema, fapt care poate cauza executarea unui cod JavaScript arbitrar în contextul domeniului local. Această problemă a fost descrisă pe site-ul Month of Apple Bugs (MOAB-03-01-2007). Această actualizare soluționează problema prin efectuarea următoarelor modificări în ceea ce privește gestionarea URL-urilor din atributul qtnext al fișierelor QTL și HREFTracks din filmele QuickTime. Numai URL-urile „http:” și „https:” sunt permise dacă filmul este încărcat de pe un site la distanță. Numai URL-urile „file:” sunt permise dacă filmul este încărcat local.
QuickTime 7.1.5 pentru Mac sau Windows se poate obține din Actualizare software sau ca descărcare manuală de la: http://www.apple.com/quicktime/download/.