Despre conținutul de securitate din QuickTime 7.1.6

Acest document descrie conținutul de securitate din QuickTime 7.1.6, care poate fi descărcat și instalat din preferințele Actualizare software sau din Descărcări Apple.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple.”

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple.”

Actualizarea QuickTime 7.1.6

QuickTime

CVE-ID: CVE-2007-2175

Disponibilitate pentru: Mac OS X v10.3.9, Mac OS X v10.4.9, Windows XP SP2, Windows 2000 SP4

Impact: accesarea unui site web rău intenționat poate cauza executarea unui cod arbitrar.

Descriere: există o problemă de implementare în QuickTime pentru Java, care poate permite citirea sau scrierea în afara limitelor memoriei heap alocate. Prin ademenirea unui utilizator să viziteze o pagină web care conține un applet Java creat cu rea intenție, un atacator poate declanșa problema care poate cauza executarea unui cod arbitrar. Această actualizare soluționează problema prin verificarea suplimentară a limitelor la crearea obiectelor QTPointerRef. Îi mulțumim lui Dino Dai Zovi, în colaborare cu TippingPoint și Zero Day Initiative, pentru semnalarea acestei probleme.