Проблемы безопасности, устраняемые обновлением QuickTime 7.1.5
В этом документе описаны проблемы безопасности, устраняемые обновлением QuickTime 7.1.5.
В этом документе описываются проблемы системы безопасности, устраняемые обновлением QuickTime 7.1.5, которое можно загрузить и установить в разделе настроек «Обновление ПО» или в здесь.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье «Использование PGP-ключа безопасности продуктов Apple».
Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье «Обновления системы безопасности Apple».
Обновление QuickTime 7.1.5
QuickTime
CVE-ID: CVE-2007-0711
Целевой продукт: Windows Vista/XP/2000
Воздействие. Просмотр вредоносного видеофайла 3GP может привести к неожиданному сбою в работе приложения или выполнению произвольного кода.
Описание. При обработке видеофайлов 3GP в приложении QuickTime возникало целочисленное переполнение. Побуждая пользователя открыть вредоносное видео, злоумышленник может инициировать переполнение, которое может привести к неожиданному сбою в работе приложения или выполнению произвольного кода. Это обновление устраняет проблему, выполняя дополнительную проверку видеофайлов 3GP. Эта проблема не возникает в Mac OS X. Благодарим Дж. Дж. Рейеса (JJ Reyes) за информацию об этой проблеме.
QuickTime
CVE-ID: CVE-2007-0712
Целевой продукт: Mac OS X 10.3.9 и более поздних версий, Windows Vista/XP/2000
Воздействие. Просмотр вредоносного файла MIDI может привести к неожиданному сбою в работе приложения или выполнению произвольного кода.
Описание. При обработке приложением QuickTime файлов MIDI возникало переполнение буфера в динамической памяти. Побуждая пользователя открыть вредоносный файл MIDI, злоумышленник может инициировать переполнение, которое может привести к неожиданному сбою в работе приложения или выполнению произвольного кода. Это обновление устраняет проблему, выполняя дополнительную проверку файлов MIDI. Благодарим за информацию об этой проблеме Майка Прайса (Mike Price) из McAfee AVERT Labs.
QuickTime
CVE-ID: CVE-2007-0713
Целевой продукт: Mac OS X 10.3.9 и более поздних версий, Windows Vista/XP/2000
Воздействие. Просмотр вредоносного видеофайла QuickTime может привести к неожиданному сбою в работе приложения или выполнению произвольного кода.
Описание. При обработке приложением QuickTime видеофайлов QuickTime возникало переполнение буфера в динамической памяти. Побуждая пользователя перейти к вредоносному видео, злоумышленник может инициировать переполнение, которое может привести к неожиданному сбою в работе приложения или выполнению произвольного кода. Это обновление устраняет проблему, выполняя дополнительную проверку видеофайлов QuickTime. Благодарим Майка Прайса (Mike Price) из McAfee AVERT Labs, Петра Баня (Piotr Bania) и Артура Оглоза (Artur Ogloza) за информацию об этой проблеме.
QuickTime
CVE-ID: CVE-2007-0714
Целевой продукт: Mac OS X 10.3.9 и более поздних версий, Windows Vista/XP/2000
Воздействие. Просмотр вредоносного видеофайла QuickTime может привести к неожиданному сбою в работе приложения или выполнению произвольного кода.
Описание. При обработке приложением QuickTime атомов UDTA возникало целочисленное переполнение. Побуждая пользователя перейти к вредоносному видео, злоумышленник может инициировать переполнение, которое может привести к неожиданному сбою в работе приложения или выполнению произвольного кода. Это обновление устраняет проблему, выполняя дополнительную проверку видеофайлов QuickTime. Выражаем благодарность пользователю Sowhat из Nevis Labs и анонимному исследователю, сотрудничающему с TippingPoint и организацией Zero Day Initiative, за информацию об этой проблеме.
QuickTime
CVE-ID: CVE-2007-0715
Целевой продукт: Mac OS X 10.3.9 и более поздних версий, Windows Vista/XP/2000
Воздействие. Просмотр вредоносного файла PICT может привести к неожиданному сбою в работе приложения или выполнению произвольного кода.
Описание. При обработке приложением QuickTime файлов PICT возникало переполнение буфера в динамической памяти. Побуждая пользователя открыть вредоносный файл изображения PICT, злоумышленник может инициировать переполнение, которое может привести к выполнению произвольного кода. Это обновление устраняет проблему, выполняя дополнительную проверку файлов PICT. Благодарим за информацию об этой проблеме Майка Прайса (Mike Price) из McAfee AVERT Labs.
QuickTime
CVE-ID: CVE-2007-0716
Целевой продукт: Mac OS X 10.3.9 и более поздних версий, Windows Vista/XP/2000
Воздействие. Открытие вредоносного файла QTIF может привести к неожиданному сбою в работе приложения или выполнению произвольного кода.
Описание. При обработке приложением QuickTime файлов QTIF возникало переполнение буфера в стеке. Побуждая пользователя перейти к вредоносному файлу QTIF, злоумышленник может инициировать переполнение, которое может привести к неожиданному сбою в работе приложения или выполнению произвольного кода. Это обновление устраняет проблему, выполняя дополнительную проверку файлов QTIF. Благодарим за информацию об этой проблеме Майка Прайса (Mike Price) из McAfee AVERT Labs.
QuickTime
CVE-ID: CVE-2007-0717
Целевой продукт: Mac OS X 10.3.9 и более поздних версий, Windows Vista/XP/2000
Воздействие. Открытие вредоносного файла QTIF может привести к неожиданному сбою в работе приложения или выполнению произвольного кода.
Описание. При обработке файлов QTIF в приложении QuickTime возникает целочисленное переполнение. Побуждая пользователя перейти к вредоносному файлу QTIF, злоумышленник может инициировать переполнение, которое может привести к неожиданному сбою в работе приложения или выполнению произвольного кода. Это обновление устраняет проблему, выполняя дополнительную проверку файлов QTIF. Благодарим за информацию об этой проблеме Майка Прайса (Mike Price) из McAfee AVERT Labs.
QuickTime
CVE-ID: CVE-2007-0718
Целевой продукт: Mac OS X 10.3.9 и более поздних версий, Windows Vista/XP/2000
Воздействие. Открытие вредоносного файла QTIF может привести к неожиданному сбою в работе приложения или выполнению произвольного кода.
Описание. При обработке приложением QuickTime файлов QTIF возникало переполнение буфера в динамической памяти. Побуждая пользователя перейти к вредоносному файлу QTIF, злоумышленник может инициировать переполнение, которое может привести к неожиданному сбою в работе приложения или выполнению произвольного кода. Это обновление устраняет проблему, выполняя дополнительную проверку файлов QTIF. Благодарим за информацию об этой проблеме Рубена Сантамарта (Ruben Santamarta), сотрудничающего с программой iDefense Vulnerability Contributor Program, и Дж. Дж. Рейеса (JJ Reyes).
QuickTime
CVE-ID: CVE-2006-4965, CVE-2007-0059
Целевой продукт: Mac OS X 10.3.9 и более поздних версий, Windows Vista/XP/2000
Воздействие. Просмотр вредоносного видеофайла QuickTime или файла QTL может привести к выполнению произвольного кода JavaScript в контексте локального домена.
Описание. В плагине QuickTime для браузера существует проблема с межзональными сценариями. Побуждая пользователя открыть вредоносный видеофайл QuickTime или файл QTL, злоумышленник может вызвать проблему, которая может привести к выполнению произвольного кода JavaScript в контексте локального домена. Эта проблема была описана на веб-сайте «Month of Apple Bugs» (MOAB-03-01-2007). Данное обновление устраняет проблему путем внесения следующих изменений в обработку URL-адресов в атрибуте qtnext файлов QTL и HREFTracks в видеофайлах QuickTime. Если фильм был загружен с удаленного веб-сайта, то можно использовать только URL-адреса «http:» и «https:». Если фильм был загружен локально, то можно использовать только URL-адреса «file:»
QuickTime 7.1.5 для Mac или Windows можно загрузить в разделе «Обновление ПО» или вручную с веб-сайта: http://www.apple.com/quicktime/download/.