Сведения о проблемах системы безопасности, устраняемых обновлением QuickTime 7.6.6

В этом документе описаны проблемы безопасности, устраняемые обновлением QuickTime 7.6.6.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

QuickTime 7.6.6

• QuickTime

  CVE-ID: CVE-2009-2837

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Открытие вредоносного изображения PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода

  Описание. При обработке изображений PICT возникает переполнение буфера динамической памяти. Открытие вредоносного изображения в формате PICT может приводить к неожиданному завершению работы приложения или выполнению произвольного кода. Эта проблема устраняется путем улучшенной проверки изображений PICT. Для Mac OS X 10.6 эта проблема решается обновлением до Mac OS X 10.6.2. Для Mac OS X 10.5 эта проблема устранена в обновлении системы безопасности 2009-006. Благодарим за сообщение об этой проблеме Nicolas Joly из отдела изучения уязвимостей VUPEN.

• QuickTime

  CVE-ID: CVE-2010-0059

  Целевые продукты: Mac OS X 10.5.8, Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Воспроизведение вредоносного аудиосодержимого может привести к неожиданному завершению работы приложения или выполнению произвольного кода

  Описание. При обработке аудиосодержимого в формате QDM2 возникает проблема с повреждением данных в памяти. Воспроизведение вредоносного аудиосодержимого может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Эта проблема устраняется путем улучшенной проверки границ памяти. Для Mac OS X 10.6 эта проблема устраняется путем обновления до Mac OS X 10.6.3. Благодарим за информацию об этой проблеме анонимного исследователя из компании TippingPoint по программе Zero Day Initiative.

• QuickTime

  CVE-ID: CVE-2010-0060

  Целевые продукты: Mac OS X 10.5.8, Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Воспроизведение вредоносного аудиосодержимого может привести к неожиданному завершению работы приложения или выполнению произвольного кода

  Описание. При обработке аудиосодержимого в формате QDMC возникает проблема с повреждением данных в памяти. Воспроизведение вредоносного аудиосодержимого может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Эта проблема устраняется путем улучшенной проверки границ памяти. Для Mac OS X 10.6 эта проблема устраняется путем обновления до Mac OS X 10.6.3. Благодарим за информацию об этой проблеме анонимного исследователя из компании TippingPoint по программе Zero Day Initiative.

• QuickTime

  CVE-ID: CVE-2010-0062

  Целевые продукты: Mac OS X 10.5.8, Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Просмотр вредоносного фильма может привести к неожиданному работы приложения или выполнению произвольного кода

  Описание. При обработке файлов фильмов в формате H.263 возникает переполнение буфера динамической памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Эта проблема устраняется путем дополнительной проверки файлов фильмов в формате H.263. Для Mac OS X 10.6 эта проблема устраняется путем обновления до Mac OS X 10.6.3. Благодарим за информацию об этой проблеме Damian Put и анонимного исследователя из компании TippingPoint по программе Zero Day Initiative.

• QuickTime

  CVE-ID: CVE-2010-0514

  Целевые продукты: Mac OS X 10.5.8, Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Просмотр вредоносного фильма может привести к неожиданному работы приложения или выполнению произвольного кода

  Описание. При обработке файлов фильмов в формате H.261 возникает проблема с переполнением буфера динамической памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Эта проблема устраняется путем дополнительной проверки файлов фильмов в формате H.261. Для Mac OS X 10.6 эта проблема устраняется путем обновления до Mac OS X 10.6.3. Благодарим за информацию об этой проблеме Will Dormann из CERT/CC.

• QuickTime

  CVE-ID: CVE-2010-0515

  Целевые продукты: Mac OS X 10.5.8, Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Просмотр вредоносного фильма может привести к неожиданному работы приложения или выполнению произвольного кода

  Описание. При обработке файлов фильмов в формате H.264 возникает проблема с повреждением данных в памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Эта проблема устраняется путем дополнительной проверки файлов фильмов в формате H.264. Для Mac OS X 10.6 эта проблема устраняется путем обновления до Mac OS X 10.6.3. Благодарим за информацию об этой проблеме анонимного исследователя из компании TippingPoint по программе Zero Day Initiative.

• QuickTime

  CVE-ID: CVE-2010-0516

  Целевые продукты: Mac OS X 10.5.8, Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Просмотр вредоносного фильма может привести к неожиданному работы приложения или выполнению произвольного кода

  Описание. При обработке файлов фильмов в формате RLE возникает проблема с переполнением буфера динамической памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Эта проблема устраняется путем дополнительной проверки файлов фильмов в формате RLE. Для Mac OS X 10.6 эта проблема устраняется путем обновления до Mac OS X 10.6.3. Благодарим за информацию об этой проблеме анонимного исследователя из компании TippingPoint по программе Zero Day Initiative.

• QuickTime

  CVE-ID: CVE-2010-0517

  Целевые продукты: Mac OS X 10.5.8, Windows 7, Vista, XP SP2 или более поздней версии

  Описание. При обработке файлов фильмов в формате M-JPEG возникает переполнение буфера динамической памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Эта проблема устраняется путем дополнительной проверки файлов фильмов в формате M-JPEG. Для Mac OS X 10.6 эта проблема устраняется путем обновления до Mac OS X 10.6.3. Благодарим за информацию об этой проблеме Damian Put и анонимного исследователя из компании TippingPoint по программе Zero Day Initiative.

• QuickTime

  CVE-ID: CVE-2010-0518

  Целевые продукты: Mac OS X 10.5.8, Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Просмотр вредоносного фильма может привести к неожиданному работы приложения или выполнению произвольного кода

  Описание. При обработке файлов фильмов в формате Sorenson возникает проблема с повреждением данных в памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Эта проблема устраняется путем дополнительной проверки файлов фильмов в формате Sorenson. Для Mac OS X 10.6 эта проблема устраняется путем обновления до Mac OS X 10.6.3. Благодарим за информацию об этой проблеме Will Dormann из CERT/CC.

• QuickTime

  CVE-ID: CVE-2010-0519

  Целевые продукты: Mac OS X 10.5.8, Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Просмотр вредоносного фильма может привести к неожиданному работы приложения или выполнению произвольного кода

  Описание. При обработке файлов фильмов в формате FlashPix возникает проблема с целочисленным переполнением. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Эта проблема устраняется путем улучшенной проверки границ памяти. Для Mac OS X 10.6 эта проблема устраняется путем обновления до Mac OS X 10.6.3. Благодарим за информацию об этой проблеме анонимного исследователя из компании TippingPoint по программе Zero Day Initiative.

• QuickTime

  CVE-ID: CVE-2010-0520

  Целевые продукты: Mac OS X 10.5.8, Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Просмотр вредоносного фильма может привести к неожиданному работы приложения или выполнению произвольного кода

  Описание. При обработке файлов фильмов в формате FLC возникает проблема с переполнением буфера динамической памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Эта проблема устраняется путем дополнительной проверки файлов фильмов в формате FLC. Для Mac OS X 10.6 эта проблема устраняется путем обновления до Mac OS X 10.6.3. Благодарим за информацию об этой проблеме Moritz Jodeit из n.runs AG, работающего по программе TippingPoint Zero Day Initiative, и Nicolas Joly из VUPEN Security.

• QuickTime

  CVE-ID: CVE-2010-0526

  Целевые продукты: Mac OS X 10.5.8, Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Просмотр вредоносного фильма может привести к неожиданному работы приложения или выполнению произвольного кода

  Описание. При обработке файлов фильмов в формате MPEG возникает проблема с переполнением буфера динамической памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Эта проблема устраняется путем дополнительной проверки файлов фильмов в формате MPEG. Для Mac OS X 10.6 эта проблема устраняется путем обновления до Mac OS X 10.6.3. Благодарим за информацию об этой проблеме анонимного исследователя из компании TippingPoint по программе Zero Day Initiative.

• QuickTime

  CVE-ID: CVE-2010-0527

  Целевые продукты: Windows 7, Vista, XP SP2

  Воздействие. Открытие вредоносного изображения PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода

  Описание. При обработке изображений PICT возникает целочисленное переполнение. Открытие вредоносного изображения в формате PICT может приводить к неожиданному завершению работы приложения или выполнению произвольного кода. В этом обновлении проблема устранена за счет выполнения дополнительной проверки изображений в формате PICT. Проблема не возникает в Mac OS X. Благодарим за сообщение об этой проблеме Nicolas Joly из отдела изучения уязвимостей VUPEN.

• QuickTime

  CVE-ID: CVE-2010-0528

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Просмотр вредоносного фильма может привести к неожиданному работы приложения или выполнению произвольного кода

  Описание. При обработке цветовых таблиц в файлах фильмов возникает проблема с повреждением данных в памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Эта проблема устраняется за счет выполнения дополнительной проверки цветовых таблиц. Проблема не возникает в Mac OS X. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.

• QuickTime

  CVE-ID: CVE-2010-0529

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Открытие вредоносного изображения PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода

  Описание. При обработке изображений PICT возникает переполнение буфера динамической памяти. Открытие вредоносного изображения в формате PICT может приводить к неожиданному завершению работы приложения или выполнению произвольного кода. В этом обновлении проблема устранена за счет выполнения дополнительной проверки изображений в формате PICT. Проблема не возникает в Mac OS X. Благодарим Damian Put, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative, за сообщение об этой проблеме.

• QuickTime

  CVE-ID: CVE-2010-0536

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Открытие вредоносного изображения BMP может привести к неожиданному завершению работы приложения или выполнению произвольного кода

  Описание. При обработке изображений BMP возникает проблема с повреждением данных в памяти. Открытие вредоносного изображения в формате BMP может приводить к неожиданному завершению работы приложения или выполнению произвольного кода. В этом обновлении проблема устранена за счет выполнения дополнительной проверки изображений в формате BMP. Проблема не возникает в Mac OS X. Благодарим пользователя SkyLined из Google Inc. за сообщение об этой проблеме.