Материалы по безопасности для программы QuickTime 7.6.2

В этом документе описывается содержимое безопасности программы QuickTime 7.6.2, которое можно загрузить и установить через меню Обновление программ или из раздела Загрузить веб-сайта компании Apple.

В целях защиты своих пользователей компания Apple не разглашает и не подтверждает информацию о проблемах безопасности, а также не участвует в ее обсуждении, до тех пор пока не будет полностью завершено изучение проблемы и не будут выпущены все необходимые обновления и выпуски. Дополнительную информацию об обеспечении безопасности продуктов Apple см. на веб-странице «Безопасность продуктов Apple».

Дополнительную информацию об обеспечении безопасности продуктов Apple с помощью ключа PGP см. в статье «Использование PGP-ключа для защиты продуктов Apple».

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Дополнительную информацию о других обновлениях системы безопасности см. в статье «Обновления системы безопасности Apple».

Данная статья была помещена в архив и больше не обновлялась.

QuickTime 7.6.2

  • QuickTime

    Идентификатор CVE: CVE-2009-0188

    Доступно для: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista и XP с пакетом обновления 3

    Воздействие. Открытие вредоносного видеофайла может привести к неожиданному завершению работы программы или к выполнению произвольного кода.

    Описание. При проигрывании в программе QuickTime видеофайлов, закодированных с помощью кодека Sorenson 3, возможно повреждение памяти. Это может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Обновление решает описанную проблему, выполняя дополнительную проверку достоверности видеофайлов, закодированных с помощью кодека Sorenson 3. Благодарим Карстена Эйрама (Carsten Eiram) из компании Secunia Research за сообщение об этой проблеме.

  • QuickTime

    Идентификатор CVE: CVE-2009-0951

    Доступно для: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista и XP с пакетом обновления 3

    Воздействие. Открытие вредоносного сжатого файла FLC может привести к неожиданному завершению работы программы или к выполнению произвольного кода.

    Описание. В способе обработки сжатых файлов FLC существует уязвимость, приводящая к переполнению буфера «кучи». Открытие вредоносного сжатого файла FLC может привести к неожиданному завершению работы программы или к выполнению произвольного кода. Это обновление устраняет проблему, улучшая проверку границ. Благодарим анонимного исследователя, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

  • QuickTime

    Идентификатор CVE: CVE-2009-0952

    Доступно для: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista и XP с пакетом обновления 3

    Воздействие. Просмотр вредоносного файла изображения PSD может привести к неожиданному завершению работы приложения или выполнению произвольного кода

    При обработке сжатого изображения PSD возможно переполнение буфера. Открытие вредоносного сжатого файла PSD может привести к неожиданному завершению работы приложения или к выполнению произвольного кода. Это обновление устраняет проблему, улучшая проверку границ. Благодарим Дэмиана Пута (Damian Put), участвующего в программе Zero Day Initiative группы TippingPoint за сообщение об этой проблеме.

  • QuickTime

    Идентификатор CVE: CVE-2009-0010

    Доступно для: Windows Vista и XP с пакетом обновления 3

    Воздействие. Просмотр вредоносного изображения в формате PICT может привести к неожиданному завершению работы программы или выполнению произвольного кода

    Описание. Исчезновение разрядов целых чисел при обработке изображений PICT проигрывателем QuickTime может стать причиной переполнения буфера «кучи» для динамически распределяемых структур данных. Открытие вредоносного файла PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему путем добавления дополнительной проверки изображений PICT. Благодарим Себастьяна Апельта (Sebastian Apelt), сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, и Криса Риеса (Chris Ries) из вычислительной службы университета Карнеги-Меллон за сообщение об этой проблеме.

  • QuickTime

    Идентификатор CVE: CVE-2009-0953

    Доступно для: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista и XP с пакетом обновления 3

    Воздействие. Просмотр вредоносного изображения в формате PICT может привести к неожиданному завершению работы программы или выполнению произвольного кода

    Описание. В способе обработки программой QuickTime изображений в формате PICT существует проблема, которая может привести к переполнению буфера «кучи». Открытие вредоносного файла PICT может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему путем добавления дополнительной проверки изображений PICT. Благодарим Себастьяна Апельта (Sebastian Apelt), участвующего в программе Zero Day Initiative группы TippingPoint за сообщение об этой проблеме.

  • QuickTime

    Идентификатор CVE: CVE-2009-0954

    Доступно для: Windows Vista и XP с пакетом обновления 3

    Воздействие. Открытие вредоносного видеофайла может привести к неожиданному завершению работы программы или к выполнению произвольного кода.

    Описание. При обработке атомов области отсечения типа CRGN в файле фильма проигрывателем QuickTime возможно переполнение буфера «кучи». Открытие вредоносного видеофайла может привести к неожиданному завершению работы приложения или к выполнению произвольного кода. Это обновление устраняет проблему, улучшая проверку границ. Эта проблема не распространяется на операционные системы Mac OS X. Благодарим анонимного исследователя, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

  • QuickTime

    Идентификатор CVE: CVE-2009-0185

    Доступно для: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista и XP с пакетом обновления 3

    Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода

    Описание. При обработке аудиоданных, закодированных с использованием кодека MS ADPCM, возможно переполнение буфера «кучи». Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода. Это обновление устраняет проблему, улучшая проверку границ. Благодарим Алина Рад Поп (Alin Rad Pop) из компании Secunia Research за сообщение об этой проблеме.

  • QuickTime

    Идентификатор CVE: CVE-2009-0955

    Доступно для: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista и XP с пакетом обновления 3

    Воздействие. Открытие вредоносного видеофайла может привести к неожиданному завершению работы программы или к выполнению произвольного кода.

    Описание. При работе с атомами описания изображения в программе QuickTime возможно расширение знака. Воздействие. Открытие вредоносного видеофайла Apple может привести к неожиданному завершению работы программы или к выполнению произвольного кода. Данное обновление устраняет проблему путем улучшения проверки атомов описания. Благодарим Роя Хея (Roee Hay) из IBM Rational Application Security Research Group за информацию об этой проблеме.

  • QuickTime

    Идентификатор CVE: CVE-2009-0956

    Доступно для: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista и XP с пакетом обновления 3

    Воздействие. Просмотр фильма с вредоносным атомом пользовательских данных может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

    Описание. При обработке видеофайлов в QuickTime возможен неинициализированный доступ к памяти. Воздействие. Просмотр фильма с нулевым атомом пользовательских данных может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему путем выполнения дополнительной проверки файлов видео и вывода соответствующего предупреждения. Благодарим Лерин Гренье (Lurene Grenier) из Sourcefire, Inc. (VRT) за информацию об этой проблеме.

  • QuickTime

    Идентификатор CVE: CVE-2009-0957

    Доступно для: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista и XP с пакетом обновления 3

    Воздействие. Просмотр вредоносного файла изображения JP2 может привести к неожиданному завершению работы приложения или выполнению произвольного кода

    Описание. В способе обработки программой QuickTime изображений в формате JP2 существует проблема, которая может привести к переполнению буфера «кучи». Просмотр вредоносного файла изображения JP2 может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Это обновление устраняет проблему, улучшая проверку границ. Благодарим Чарли Миллера (Charlie Miller) из компании Independent Security Evaluators и Дэмиана Пута (Damian Put), сотрудничающих с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

Важно: Сведения о продуктах, производимых не компанией Apple, предоставляются исключительно в информационных целях. Они не рекомендуются компанией Apple для использования и не рекламируются ею. Для того чтобы получить дополнительную информацию, свяжитесь с поставщиком.

Дата публикации: