Сведения о проблемах системы безопасности, устраняемых обновлением QuickTime 7.5.5

В этом документе описываются проблемы системы безопасности, устраняемые обновлением QuickTime 7.5.5, которое можно загрузить и установить с помощью настроек Обновление ПО или со страницы загрузок Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

QuickTime 7.5.5

• QuickTime

  Идентификатор CVE: CVE-2008-3615

  Целевые продукты: Windows Vista, XP SP2 и SP3

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. В кодеке от стороннего производителя Indeo 5 для QuickTime, который не поставляется с QuickTime, возникает проблема доступа к неинициализированной памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Обновление устраняет эту проблему путем запрета на отображение материалов, закодированных любой версией кодека Indeo. Эта проблема не возникает в системах с Mac OS X. Благодарим за сообщение об этой проблеме Paul Byrne из компании NGSSoftware.

• QuickTime

  Идентификатор CVE: CVE-2008-3635

  Целевые продукты: Windows Vista, XP SP2 и SP3

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. В кодеке стороннего производителя Indeo 3.2 для QuickTime возникает переполнение буфера стека. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Обновление устраняет эту проблему путем запрета на отображение материалов, закодированных любой версией кодека Indeo. Эта проблема не возникает в системах с Mac OS X. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.

• QuickTime

  Идентификатор CVE: CVE-2008-3624

  Целевые продукты: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздних версий, Windows Vista, XP SP2 и SP3

  Воздействие. Просмотр вредоносного видеофайла QTVR может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке атомов панорамы в видеофайлах QTVR (QuickTime Virtual Reality, виртуальная реальность QuickTime) приложением QuickTime может произойти переполнение буфера в динамически распределяемой области памяти. Просмотр вредоносного файла QTVR может приводить к непредвиденному прекращению работы приложения или выполнению произвольного кода. Обновление устраняет эту проблему путем усовершенствования проверки границ атомов панорамы. Благодарим Roee Hay из IBM Rational Application Security Research Group за сообщение об этой проблеме.

• QuickTime

  Идентификатор CVE: CVE-2008-3625

  Целевые продукты: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздних версий, Windows Vista, XP SP2 и SP3

  Воздействие. Просмотр вредоносного видеофайла QTVR может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке атомов панорамы в видеофайлах QTVR (QuickTime Virtual Reality, виртуальная реальность QuickTime) приложением QuickTime может произойти переполнение буфера стека. Просмотр вредоносного файла QTVR может приводить к непредвиденному прекращению работы приложения или выполнению произвольного кода. Обновление устраняет эту проблему путем усовершенствования проверки границ атомов панорамы. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.

• QuickTime

  Идентификатор CVE: CVE-2008-3614

  Целевые продукты: Windows Vista, XP SP2 и SP3

  Воздействие. Открытие вредоносного изображения в формате PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке приложением QuickTime изображений в формате PICT возникает проблема, которая может привести к переполнению целочисленного значения. Открытие вредоносного изображения в формате PICT может приводить к неожиданному завершению работы приложения или выполнению произвольного кода. В этом обновлении проблема устранена за счет выполнения дополнительной проверки изображений в формате PICT. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией iDefense VCP.

• QuickTime

  Идентификатор CVE: CVE-2008-3626

  Целевые продукты: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздних версий, Windows Vista, XP SP2 и SP3

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке атомов STSZ видеофайлов в приложении QuickTime возникает проблема повреждения памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Обновление устраняет эту проблему путем усовершенствования проверки границ атомов STSZ. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.

• QuickTime

  Идентификатор CVE: CVE-2008-3627

  Целевые продукты: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздних версий, Windows Vista, XP SP2 и SP3

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке видеофайлов с кодировкой H.264 приложением QuickTime возникает несколько проблем повреждения памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Обновление устраняет эту проблему путем дополнительной проверки видеофайлов с кодировкой H.264. Благодарим за сообщение об этой проблеме анонимного исследователя и компанию Subreption LLC, сотрудничающих с компанией TippingPoint в рамках программы Zero Day Initiative.

• QuickTime

  Идентификатор CVE: CVE-2008-3628

  Целевые продукты: Windows Vista, XP SP2 и SP3

  Воздействие. Открытие вредоносного изображения в формате PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке приложением QuickTime изображений в формате PICT возникает проблема неверного указателя. Открытие вредоносного изображения в формате PICT может приводить к неожиданному завершению работы приложения или выполнению произвольного кода. Обновление устраняет эту проблему путем правильного сохранения и восстановления глобальной переменной. Эта проблема не возникает в системах с Mac OS X. Благодарим за сообщение об этой проблеме David Wharton.

• QuickTime

  Идентификатор CVE: CVE-2008-3629

  Целевые продукты: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздних версий, Windows Vista, XP SP2 и SP3

  Воздействие. Открытие вредоносного изображения в формате PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке изображений в формате PICT приложением QuickTime возникает проблема чтения данных за допустимыми границами. Открытие вредоносного изображения в формате PICT может привести к неожиданному завершению работы приложения. В этом обновлении проблема устранена за счет выполнения дополнительной проверки изображений в формате PICT. Благодарим за сообщение об этой проблеме Sergio Alvarez (shadown) из n.runs AG.