Сведения о проблемах безопасности, устраняемых обновлением QuickTime 7.6

В этом документе содержатся сведения о проблемах, устраняемых обновлением QuickTime 7.6, которое доступно для загрузки и установки с помощью настроек Обновление ПО или на странице загрузок Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

QuickTime 7.6

• QuickTime

  Идентификатор CVE: CVE-2009-0001

  Целевые продукты: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздних версий, Windows Vista, XP SP2 и SP3

  Воздействие. Получение доступа к вредоносному URL-адресу RTSP может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке URL-адресов RTSP приложением QuickTime может произойти переполнение буфера в динамически распределяемой области памяти. Получение доступа к вредоносному URL-адресу RTSP может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Это обновление устраняет проблему за счет выполнения дополнительной проверки URL-адресов RTSP. Выражаем благодарность Аттиле Шустеру (Attila Suszter) за сообщение об этой проблеме.

• QuickTime

  Идентификатор CVE: CVE-2009-0002

  Целевые продукты: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздних версий, Windows Vista, XP SP2 и SP3

  Воздействие. Просмотр вредоносного видеофайла QTVR может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке атомов THKD в видеофайлах QTVR (QuickTime Virtual Reality) приложением QuickTime может произойти переполнение буфера в динамически распределяемой области памяти. Просмотр вредоносного файла QTVR может приводить к непредвиденному прекращению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения проверки границ. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.

• QuickTime

  Идентификатор CVE: CVE-2009-0003

  Целевые продукты: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздних версий, Windows Vista, XP SP2

  Воздействие. Просмотр вредоносного видеофайла AVI может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке видеофайла AVI может произойти переполнение буфера в динамически распределяемой области памяти. Открытие вредоносного видеофайла AVI может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения проверки границ. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.

• QuickTime

  Идентификатор CVE: CVE-2009-0004

  Целевые продукты: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздних версий, Windows Vista, XP SP2 и SP3

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке видеофайлов MPEG-2 с аудиосодержимым в формате MP3 происходит переполнение буфера. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения проверки границ. Выражаем благодарность Чаду Догерти (Chad Dougherty) из Координационного центра CERT за сообщение об этой проблеме.

• QuickTime

  Идентификатор CVE: CVE-2009-0005

  Целевые продукты: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздних версий, Windows Vista, XP SP2 и SP3

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке видеофайлов с кодировкой H.263 приложением QuickTime происходит повреждение данных в памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Это обновление устраняет проблему посредством дополнительной проверки видеофайлов с кодировкой H.263. Выражаем благодарность Дэйву Солдера (Dave Soldera) из компании NGS Software за сообщение об этой проблеме.

• QuickTime

  Идентификатор CVE: CVE-2009-0006

  Целевые продукты: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздних версий, Windows Vista, XP SP2 и SP3

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке видеофайлов с кодировкой Cinepak приложением QuickTime возникает проблема, связанная со знаковыми числами, которая может приводить к переполнению буфера в динамически распределяемой области памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Это обновление устраняет проблему посредством дополнительной проверки видеофайлов. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.

• QuickTime

  Идентификатор CVE: CVE-2009-0007

  Целевые продукты: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 или более поздних версий, Windows Vista, XP SP2 и SP3

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке атомов JPEG в видеофайлах QuickTime приложением QuickTime может произойти переполнение буфера в динамически распределяемой области памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения проверки границ. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.