Сведения о проблемах безопасности, устраняемых в программе QuickTime 7.6.9

В этом документе описаны проблемы безопасности, устраненные в QuickTime 7.6.9.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Как использовать PGP-ключ защиты продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

QuickTime 7.6.9

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-3787

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного файла изображения JP2 может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. В способе обработки программой QuickTime изображений в формате JP2 существует проблема, которая может приводить к переполнению буфера в динамической памяти. Просмотр вредоносного файла изображения JP2 может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенной проверки границ. В системах Mac OS X 10.6 эта проблема решается обновлением Mac OS X до версии 10.6.5. Благодарим пользователя Nils из MWR InfoSecurity и Уилла Дорманна (Will Dormann) из CERT/CC за сообщение о проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-3788

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного файла изображения JP2 может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке компонентом QuickTime изображений JP2 возможен неинициализированный доступ к памяти. Просмотр вредоносного файла изображения JP2 может привести к неожиданному завершению работы программы или выполнению произвольного кода. Эта проблема решена путем улучшенной проверки изображений JP2. В системах Mac OS X 10.6 эта проблема решается обновлением Mac OS X до версии 10.6.5. Благодарим Дэмиена Пута (Damian Put) и пользователя Procyun, сотрудничающих с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-3789

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного видеофайла AVI может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке файлов AVI в программе QuickTime возможно повреждение данных в памяти. Просмотр вредоносного файла AVI может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенной обработки файлов AVI. В системах Mac OS X 10.6 эта проблема решается обновлением Mac OS X до версии 10.6.5. Благодарим Дэмиена Пута (Damian Put), сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-3790

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке видеофайлов в программе QuickTime возможно повреждение данных в памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенной обработки видеофайлов. Для ОС Mac OS X 10.6 эта проблема устранена в обновлении Mac OS X 10.6.5. Благодарим Хонганга Рена (Honggang Ren) из компании Fortinet FortiGuard Labs и анонимного исследователя, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-3791

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке видеофайлов формата MPEG в программе QuickTime возможно переполнение буфера. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенной проверки границ. В системах Mac OS X 10.6 эта проблема решается обновлением Mac OS X до версии 10.6.5. Благодарим анонимного исследователя, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-3792

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке видеофайлов формата MPEG в программе QuickTime возможна проблема, связанная с наличием знака. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенной обработки видеофайлов в формате MPEG. В системах Mac OS X 10.6 эта проблема решается обновлением Mac OS X до версии 10.6.5. Благодарим анонимного исследователя, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-3793

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. В способе обработки программой QuickTime видеофайлов формата Sorenson существует проблема, которая вызывает повреждение данных в памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенной проверки видеофайлов в формате Sorenson. В системах Mac OS X 10.6 эта проблема решается обновлением Mac OS X до версии 10.6.5. Благодарим анонимного исследователя, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, и Карстена Эйрама (Carsten Eiram) из компании Secunia Research за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-3794

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного изображения FlashPix может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке программой QuickTime изображений FlashPix возможен неинициализированный доступ к памяти. Просмотр вредоносного изображения FlashPix может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенного управления памятью. В системах Mac OS X 10.6 эта проблема решается обновлением Mac OS X до версии 10.6.5. Благодарим анонимного исследователя, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-3795

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного изображения GIF может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке программой QuickTime изображений GIF возможен неинициализированный доступ к памяти. Просмотр вредоносного изображения GIF может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенного управления памятью. В системах Mac OS X 10.6 эта проблема решается обновлением Mac OS X до версии 10.6.5. Благодарим анонимного исследователя, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-3800

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного файла PICT может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке в программе QuickTime файлов PICT возможно повреждение данных в памяти. Просмотр вредоносного файла PICT может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенной проверки файлов PICT. Благодарим Морица Джодеита (Moritz Jodeit) из n.runs AG и Дэмиена Пута (Damian Put), сотрудничающих с компанией TippingPoint по программе Zero Day Initiative, и Оссейна Лотфи (Hossein Lotfi) (s0lute), сотрудничающего с VeriSign iDefense Labs, за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-3801

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного изображения FlashPix может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке в программе QuickTime изображений FlashPix возможно повреждение данных в памяти. Просмотр вредоносного изображения FlashPix может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенного управления памятью. Благодарим Дэмиена Пута (Damian Put), сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, и Родриго Рубира Бранко (Rodrigo Rubira Branco) из Check Point Vulnerability Discovery Team за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-3802

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного видеофайла QTVR может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке выборки атомов панорамы в видеофайлах QTVR (виртуальная реальность QuickTime) в программе QuickTime возможно повреждение данных в памяти. Открытие вредоносного видеофайла QTVR может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенной обработки видеофайлов QTVR. Благодарим анонимного исследователя, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-1508

  Подвержены уязвимости: ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке программой QuickTime атомов заголовка дорожки (tkhd) возможно переполнение буфера в динамической памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенной проверки границ. Эта проблема не распространяется на операционные системы Mac OS X. Благодарим Морица Джодеита (Moritz Jodeit) из n.runs AG, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, и Карстена Эйрама (Carsten Eiram) из компании Secunia Research за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-0530

  Подвержены уязвимости: ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

  Воздействие. Локальный пользователь может получить доступ к конфиденциальной информации.

  Описание. В программе QuickTime существует проблема с правами доступа к файловой системе. В результате локальный пользователь может получить доступ к содержимому каталога Apple Computer в профиле пользователя, что может привести к раскрытию конфиденциальной информации. Эта проблема решается за счет улучшенного управления правами доступа к файловой системе. Эта проблема не распространяется на операционные системы Mac OS X. Благодарим Джеффа Стриклера (Geoff Strickler) из On-Line Transaction Consultants за сообщение об этой проблеме.

• Компонент QuickTime

  Идентификатор CVE: CVE-2010-4009

  Подвержены уязвимости: ОС Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows 7, Vista, XP с пакетом обновления 2 (SP2) и более поздней версии

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке программой QuickTime видеофайлов возможно целочисленное переполнение. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенной проверки границ. Благодарим Хонганга Рена (Honggang Ren) из группы FortiGuard Labs компании Fortinet за сообщение об этой проблеме.