Сведения о проблемах безопасности, устраняемых в программе QuickTime 7.6.8
В этом документе описаны проблемы безопасности, устраненные в QuickTime 7.6.8.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Как использовать PGP-ключ защиты продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
QuickTime 7.6.8
Компонент QuickTime
Идентификатор CVE: CVE-2010-1818
Подвержены уязвимости: ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.
Воздействие: посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание: в элементе управления ActiveX для QuickTime существует проблема проверки ввода. Элементу управления ActiveX может быть передан дополнительный параметр _Marshaled_pUnk для назначения произвольного целого числа, которое впоследствии обрабатывается как указатель. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода. С целью решения этой проблемы параметр _Marshaled_pUnk игнорируется. Этой проблеме не подвержены операционные системы Mac OS X. Благодарим пользователя HBelite, сотрудничающего с TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.
Компонент QuickTime
Идентификатор CVE: CVE-2010-1819
Подвержены уязвимости: ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.
Воздействие: просмотр изображения в подготовленном злоумышленником каталоге может привести к выполнению произвольного кода.
Описание: в QuickTime Picture Viewer существует проблема поиска пути. Если злоумышленник поместит вредоносный файл DLL в тот же каталог, что и файл изображения, открытие этого файла с помощью QuickTime Picture Viewer может привести к выполнению произвольного кода. Эта проблема решается путем удаления текущего рабочего каталога из пути поиска DLL. Этой проблеме не подвержены операционные системы Mac OS X. Благодарим Хайфея Ли (Haifei Li) из группы FortiGuard Labs компании Fortinet за сообщение о проблеме.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.