Сведения о проблемах безопасности, устраняемых обновлением QuickTime 7.7

В этом документе описаны проблемы безопасности, устраняемые обновлением QuickTime 7.7

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

QuickTime 7.7

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

  • Воздействие. Просмотр вредоносного файла pict может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке файлов pict в QuickTime возникало переполнение буфера. Просмотр вредоносного файла pict может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Для Mac OS X 10.6 эта проблема устранена в Mac OS X 10.6.8. Проблема не распространяется на ОС OS X Lion.

  • Идентификатор CVE

  • CVE-2011-0245: компания Subreption LLC, сотрудничающая с компанией TippingPoint в рамках программы Zero Day Initiative

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

    Воздействие. Просмотр вредоносного файла изображения в формате JPEG2000 с помощью QuickTime может привести к неожиданному завершению работы приложения или выполнению производного кода.

  • Описание. При обработке файлов изображений в формате JPEG2000 в QuickTime возникали множественные проблемы, приводящие к повреждению памяти. Просмотр вредоносного файла изображения в формате JPEG2000 с помощью QuickTime может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Для Mac OS X 10.6 эта проблема устранена в Mac OS X 10.6.7. Проблема не распространяется на ОС OS X Lion.

  • Идентификатор CVE

  • CVE-2011-0186: Will Dormann из CERT/CC

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

  • Воздействие. Посещение вредоносного веб-сайта может привести к раскрытию видеоданных с другого веб-сайта.

  • Описание. При обработке межсайтовых перенаправлений плагинами QuickTime возникала проблема использования разных источников. Посещение вредоносного веб-сайта может привести к раскрытию данных видео с другого сайта. Проблема устранена путем запрета QuickTime отслеживать межсайтовые перенаправления. Для Mac OS X 10.6 эта проблема устранена в Mac OS X 10.6.7. Проблема не распространяется на ОС OS X Lion.

  • Идентификатор CVE

  • CVE-2011-0187: Nirankush Panchbhai и программа исследований Microsoft Vulnerability Research (MSVR)

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

  • Воздействие. Воспроизведение вредоносного файла WAV может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке приложением QuickTime файлов формата RIFF и WAV возникало целочисленное переполнение. Воспроизведение вредоносного файла WAV может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Для Mac OS X 10.6 эта проблема устранена в Mac OS X 10.6.8. Проблема не распространяется на ОС OS X Lion.

  • Идентификатор CVE

  • CVE-2011-0209: Luigi Auriemma, сотрудничающий с компанией TippingPoint в рамках программы Zero Day Initiative

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

  • Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке таблиц выборки в видеофайлах QuickTime в приложении QuickTime возникало повреждение данных в памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Для Mac OS X 10.6 эта проблема устранена в Mac OS X 10.6.8. Проблема не распространяется на ОС OS X Lion.

  • Идентификатор CVE

  • CVE-2011-0210: Honggang Ren из подразделения FortiGuard Labs компании Fortinet

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

  • Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке аудиоканалов в видеофайлах в QuickTime возникала проблема целочисленного переполнения. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Для Mac OS X 10.6 эта проблема устранена в Mac OS X 10.6.8. Проблема не распространяется на ОС OS X Lion.

  • Идентификатор CVE

  • CVE-2011-0211: Luigi Auriemma, сотрудничающий с компанией TippingPoint в рамках программы Zero Day Initiative

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

  • Воздействие. Просмотр вредоносного файла изображения в формате JPEG может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке приложением QuickTime файлов изображений в формате JPEG возникало переполнение буфера. Просмотр вредоносного файла изображения в формате JPEG может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Для Mac OS X 10.6 эта проблема устранена в Mac OS X 10.6.8. Проблема не распространяется на ОС OS X Lion.

  • Идентификатор CVE

  • CVE-2011-0213: Luigi Auriemma работающий с iDefense VCP

• QuickTime

  • Целевые продукты: ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий

  • Воздействие. Просмотр вредоносного изображения в формате GIF может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке изображений в формате GIF в QuickTime возникала проблема переполнения буфера динамической памяти. Просмотр вредоносного файла изображения в формате GIF может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Проблема не распространяется на ОС Mac OS X.

  • Идентификатор CVE

  • CVE-2011-0246: анонимный участник, сотрудничающий с компанией Beyond Security в рамках программы SecuriTeam Secure Disclosure

• QuickTime

  • Целевые продукты: ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий

  • Воздействие. Просмотр вредоносного видеофайла H.264 может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке видеофайлов H.264 возникало множество проблем, связанных с переполнением буфера стека. Просмотр вредоносного видеофайла H.264 может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Эти проблемы не возникают в Mac OS X.

  • Идентификатор CVE

  • CVE-2011-0247: Roi Mallo и Sherab Giovannini, сотрудничающие с компанией TippingPoint в рамках программы Zero Day Initiative

• QuickTime

  • Целевые продукты: ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий

  • Воздействие. Посещение вредоносного веб-сайта с помощью Internet Explorer может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке файлов QTL в QuickTime ActiveX control возникала проблема переполнения буфера стека. Посещение вредоносного веб-сайта с помощью Internet Explorer может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Проблема не распространяется на ОС Mac OS X.

  • Идентификатор CVE

  • CVE-2011-0248: пользователь Chkr_d591, сотрудничающий с компанией TippingPoint в рамках программы Zero Day Initiative

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

  • Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке атомов STSC в видеофайлах QuickTime возникала проблема переполнения буфера динамической памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Проблема не распространяется на ОС OS X Lion.

  • Идентификатор CVE

  • CVE-2011-0249: Matt Jurczyk (j00ru), сотрудничающий с компанией TippingPoint в рамках программы Zero Day Initiative

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

  • Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке атомов STSS в видеофайлах QuickTime возникала проблема переполнения буфера динамической памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Проблема не распространяется на ОС OS X Lion.

  • Идентификатор CVE

  • CVE-2011-0250: Matt Jurczyk (j00ru), сотрудничающий с компанией TippingPoint в рамках программы Zero Day Initiative

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

  • Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке атомов STSZ в видеофайлах QuickTime возникала проблема переполнения буфера динамической памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Проблема не распространяется на ОС OS X Lion.

  • Идентификатор CVE

  • CVE-2011-0251: Matt Jurczyk (j00ru), сотрудничающий с компанией TippingPoint в рамках программы Zero Day Initiative

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

  • Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке атомов STTS в видеофайлах QuickTime возникала проблема переполнения буфера динамической памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Проблема не распространяется на ОС OS X Lion.

  • Идентификатор CVE

  • CVE-2011-0252: Matt Jurczyk (j00ru), сотрудничающий с компанией TippingPoint в рамках программы Zero Day Initiative

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

  • Воздействие. Просмотр вредоносного файла PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке файлов PICT возникала проблема переполнения буфера стека. Просмотр вредоносного файла PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Проблема не распространяется на ОС Mac OS X 10.7.

  • Идентификатор CVE

  • CVE-2011-0257: Matt Jurczyk (j00ru), сотрудничающий с компанией TippingPoint в рамках программы Zero Day Initiative

• QuickTime

  • Целевые продукты: Mac OS X v10.5.8, Mac OS X Server v10.5.8, ОС Windows 7, Vista, XP с пакетом обновления 2 (SP2) или более поздней версии

    Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению производного кода.

  • Описание. При обработке атомов запуска дорожки в видеофайлах QuickTime возникала проблема целочисленного переполнения. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Для Mac OS X 10.6 эта проблема устранена в Mac OS X 10.6.8. Проблема не распространяется на ОС Mac OS X 10.7.

  • Идентификатор CVE

  • CVE-2011-0256: анонимный исследователь, сотрудничающий с компанией TippingPoint в рамках программы Zero Day Initiative

• QuickTime

  • Целевые продукты: ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий

  • Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  • Описание. При обработке описаний изображений в видеофайлах QuickTime возникала проблема, приводящая к повреждению памяти. Проблема не распространяется на ОС Mac OS X.

  • Идентификатор CVE

  • CVE-2011-0258: Damian Put, сотрудничающий с компанией TippingPoint в рамках программы Zero Day Initiative