Сведения о проблемах безопасности, устраняемых обновлением QuickTime 7.5

В этом документе приводятся сведения о проблемах системы безопасности, устраняемых обновлением QuickTime 7.5, которое можно загрузить и установить в разделе настроек Обновление ПО или в разделе загрузок Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

QuickTime 7.5

QuickTime

CVE-ID: CVE-2008-1581

Целевой продукт: Windows Vista, XP SP2

Воздействие. Открытие вредоносного файла изображения PICT может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема с обработкой в QuickTime структур PixData при анализе изображения PICT может приводить к переполнению буфера в динамической памяти. Открытие вредоносного изображения в формате PICT может приводить к неожиданному завершению работы приложения или выполнению произвольного кода. Это обновление устраняет проблему посредством улучшенной проверки границ. Эта проблема не возникает в системах Mac OS X. Благодарим за сообщение об этой проблеме Dyon Balding из компании Secunia Research.

QuickTime

CVE-ID: CVE-2008-1582

Целевой продукт: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздней версии, Windows Vista, XP SP2

Воздействие. Открытие вредоносного медиаконтента с кодировкой AAC может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. При обработке мультимедийного контента с кодировкой AAC в QuickTime возникает проблема повреждения данных в памяти. Открытие вредоносного мультимедийного файла может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Это обновление устраняет проблему посредством дополнительной проверки медиафайлов. Благодарим за сообщение об этой проблеме Dave Soldera из NGS Software и Jens Alfke.

QuickTime

CVE-ID: CVE-2008-1583

Целевой продукт: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздней версии, Windows Vista, XP SP2

Воздействие. Открытие вредоносного файла изображения PICT может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. При обработке изображений PICT в QuickTime возникает переполнение буфера в динамической памяти. Открытие вредоносного изображения PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Это обновление устраняет проблему посредством улучшенной проверки границ. Благодарим за сообщение об этой проблеме Liam O Murchu из Symantec.

QuickTime

CVE-ID: CVE-2008-1584

Целевой продукт: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздней версии, Windows Vista, XP SP2

Воздействие. Просмотр вредоносного видеоконтента в формате Indeo 4 может приводить к неожиданному завершению приложения или выполнению произвольного кода.

Описание. При обработке контента с видеокодеком Indeo в QuickTime возникает проблема, которая может привести к переполнению буфера в стеке. Просмотр вредоносного видеофайла с видеокодеком Indeo может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Это обновление устраняет проблему, блокируя рендеринг контента с видеокодеком Indeo 4. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.

QuickTime

CVE-ID: CVE-2008-1585

Целевой продукт: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздней версии, Windows Vista, XP SP2

Воздействие. Воспроизведение вредоносного контента QuickTime в QuickTime Player может привести к выполнению произвольного кода.

Описание. При обработке URL-адресов формата «file:» в QuickTime возникает проблема с анализом URL-адресов. Это позволяет запускать произвольные приложения и файлы, когда пользователь воспроизводит вредоносный контент QuickTime в QuickTime Player. Это обновление устраняет проблему, открывая файлы в Finder или проводнике Windows, а не запуская их. Благодарим за сообщение об этой проблеме Vinoo Thomas и Rahul Mohandas из компании McAfee Avert Labs, а также Petko D. (pdp) Petkov из компании GNUCITIZEN , сотрудничающей с TippingPoint в рамках программы Zero Day Initiative.

QuickTime

CVE-ID: CVE-2008-2319

Целевой продукт: Mac OS X 10.3.9, Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздней версии, Windows Vista, XP SP2

Воздействие. Открытие вредоносного файла изображения PICT может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. При обработке изображений PICT в QuickTime возникает проблема знакового расширения, которая может приводить к переполнению буфера динамической памяти. Открытие вредоносного изображения PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Это обновление устраняет проблему посредством просмотра значения как такого, которому не присвоен знак. Благодарим за сообщение об этой проблеме Sergio Alvarez (shadown) из n.runs AG.