Сведения о проблемах системы безопасности, устраняемых обновлением QuickTime 7.3.1

В этом документе описываются проблемы системы безопасности, устраняемые обновлением QuickTime 7.3.1, которое можно загрузить и установить с помощью настроек Обновление ПО или со страницы загрузок Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Дополнительные сведения о других обновлениях для системы безопасности см. в статье Обновления для системы безопасности Apple.

QuickTime 7.3.1

QuickTime

CVE-ID: CVE-2007-6166

Доступно для: ОС Mac OS X 10.3.9, ОС Mac OS X 10.4.9 или более поздней версии, ОС Mac OS X 10.5 или более поздней версии, ОС Windows Vista, XP SP2

Воздействие. Просмотр вредоносного видео в формате RTSP может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Происходит переполнение буфера при обработке приложением QuickTime заголовков по протоколу RTSP. Вынудив пользователя просмотреть вредоносное видео в формате RTSP, злоумышленник может вызвать неожиданное завершение работы приложения или выполнение произвольного кода. Это обновление устраняет проблему, гарантируя, что размер буфера получателя соответствует размеру данных.

QuickTime

CVE-ID: CVE-2007-4706

Доступно для: ОС Mac OS X 10.3.9, ОС Mac OS X 10.4.9 или более поздней версии, ОС Mac OS X 10.5 или более поздней версии, ОС Windows Vista, XP SP2

Воздействие. Просмотр вредоносного файла QTL может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Происходит переполнение буфера в динамически распределяемой области памяти при обработке приложением QuickTime файлов QTL. Вынудив пользователя просмотреть вредоносный файл QTL, злоумышленник может вызвать неожиданное завершение работы приложения или выполнение произвольного кода. Это обновление устраняет проблему путем улучшенной проверки границ.

QuickTime

CVE-ID: CVE-2007-4707

Доступно для: ОС Mac OS X 10.3.9, ОС Mac OS X 10.4.9 или более поздней версии, ОС Mac OS X 10.5 или более поздней версии, ОС Windows Vista, XP SP2

Воздействие. Несколько уязвимостей в обработчике Flash-медиафайлов в приложении QuickTime

Описание. В обработчике Flash-медиафайлов в приложении QuickTime существует несколько уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. В этом обновлении предусмотрено отключение обработчика Flash-медиафайлов в QuickTime, кроме случаев просмотра ограниченного количества имеющихся видеофайлов QuickTime, о которых известно, что они безопасны. Выражаем благодарность за сообщение об этой проблеме Tom Ferris из группы специалистов Adobe Secure Software Engineering Team (ASSET), Mike Price из компании McAfee Avert Labs, специалистов по безопасности Lionel d'Hauenens и Brian Mariani из компании Syseclabs, а также анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.