Сведения о проблемах системы безопасности, устраняемых обновлением QuickTime 7.6.2

В этом документе описаны проблемы безопасности, устраняемые обновлением QuickTime 7.6.2.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

QuickTime 7.6.2

• QuickTime

  CVE-ID: CVE-2009-0188

  Целевые продукты: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista и XP SP3

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке видеофайлов Sorenson 3 в QuickTime возникает проблема повреждения памяти. Это может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Это обновление устраняет проблему посредством выполнения дополнительной проверки видеофайлов Sorenson 3. Благодарим Carsten Eiram из Secunia Research за сообщение об этой проблеме.

• QuickTime

  CVE-ID: CVE CVE-2009-0951

  Целевые продукты: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista и XP SP3

  Воздействие. Просмотр вредоносного сжатого файла FLC может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке сжатых файлов FLC возникает проблема переполнение буфера динамической памяти. Открытие вредоносного сжатого файла FLC может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения проверки границ. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.

• QuickTime

  Идентификатор CVE: CVE-2009-0952

  Целевые продукты: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista и XP SP3

  Воздействие. Просмотр вредоносного изображения PSD может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке сжатого изображения PSD может произойти переполнение буфера. Открытие вредоносного сжатого файла PSD может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения проверки границ. Благодарим Damian Put, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative, за сообщение об этой проблеме.

• QuickTime

  CVE-ID: CVE-2009-0010

  Целевые продукты: Windows Vista и XP SP3

  Воздействие. Просмотр вредоносного изображения PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке изображений PICT в QuickTime из-за целочисленного переполнения возникает переполнение буфера динамической памяти. Открытие вредоносного файла PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода. В этом обновлении проблема устранена за счет выполнения дополнительной проверки изображений в формате PICT. Благодарим Sebastian Apelt, работающего в рамках инициативы Zero Day Initiative в компании TippingPoint, а также Chris Ries из отдела Computing Services Университета Карнеги — Меллона за сообщение об этой проблеме.

• QuickTime

  CVE-ID: CVE-2009-0953

  Целевые продукты: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista и XP SP3

  Воздействие. Просмотр вредоносного изображения PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке изображений PICT в QuickTime возникает проблема переполнение буфера динамической памяти. Открытие вредоносного файла PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода. В этом обновлении проблема устранена за счет выполнения дополнительной проверки изображений в формате PICT. Благодарим за информацию об этой проблеме Sebastian Apelt из компании TippingPoint по программе Zero Day Initiative.

• QuickTime

  CVE-ID: CVE-2009-0954

  Целевые продукты: Windows Vista и XP SP3

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке типов атомов Clipping Region (CRGN) видеофайлов в QuickTime возникает переполнение буфера динамической памяти. Открытие вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения проверки границ. Проблема не возникает в Mac OS X. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.

• QuickTime

  CVE-ID: CVE CVE-2009-0185

  Целевые продукты: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista и XP SP3

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке аудиоданных, закодированных в MS ADPCM, возникает переполнение буфера динамической памяти. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения проверки границ. Благодарим Алина Рада Попа (Alin Rad Pop) из Secunia Research за сообщение об этой проблеме.

• QuickTime

  CVE-ID: CVE-2009-0955

  Целевые продукты: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista и XP SP3

  Воздействие. Открытие вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке в QuickTime атомов описания изображения возникает проблема расширения знака. Открытие вредоносного видеофайла Apple может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Это обновление устраняет проблему посредством улучшенной проверки динамических атомов. Благодарим Roee Hay из IBM Rational Application Security Research Group за сообщение об этой проблеме.

• QuickTime

  CVE-ID: CVE-2009-0956

  Целевые продукты: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista и XP SP3

  Воздействие. Просмотр видеофайла с вредоносным атомом пользовательских данных может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке видеофайлов в QuickTime возникает проблема неинициализированного доступа к памяти. Просмотр видеофайла с нулевым размером атома пользовательских данных может привести к неожиданному завершению работы программы или выполнению произвольного кода. Это обновление устраняет проблему, осуществляя дополнительную проверку видеофайлов и выдавая пользователю диалоговое окно с предупреждением. Благодарим Lurene Grenier из Sourcefire, Inc. (VRT) за сообщение об этой проблеме.

• QuickTime

  CVE-ID: CVE-2009-0957

  Целевые продукты: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista и XP SP3

  Воздействие. Просмотр вредоносного изображения JP2 может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке изображений JP2 в QuickTime возникает переполнение буфера динамической памяти. Просмотр вредоносного изображения JP2 может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения проверки границ. Благодарим за сообщение об этой проблеме Charlie Miller и Damian Put, сотрудничающих с компанией Independent Security Evaluators в рамках программы Zero Day Initiative.