Obsah zabezpečenia v aplikácii QuickTime 7.3.1

V tomto dokumente sa opisuje obsah zabezpečenia v aplikácii QuickTime 7.3.1, ktorú je možné stiahnuť a nainštalovať prostredníctvom nastavení Aktualizácia softvéru alebo zo súborov Apple na stiahnutie.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

QuickTime 7.3.1

QuickTime

CVE-ID: CVE-2007-6166

K dispozícii pre: Mac OS X 10.3.9, Mac OS X 10.4.9 alebo novší, Mac OS X 10.5 alebo novší, Windows Vista, XP SP2

Dopad: Zobrazenie filmu RTSP so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

Popis: Pri spracúvaní hlavičiek protokolu RTSP (Real Time Streaming Protocol) v aplikácii QuickTime dochádza k pretečeniu medzipamäte. Útočník môže tým, že naláka používateľa na zobrazenie filmu RTSP so škodlivým kódom, spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu. Táto aktualizácia rieši tento problém poskytovaním dostatočnej veľkosti cieľovej medzipamäte na uloženie dát.

QuickTime

CVE-ID: CVE-2007-4706

K dispozícii pre: Mac OS X 10.3.9, Mac OS X 10.4.9 alebo novší, Mac OS X 10.5 alebo novší, Windows Vista, XP SP2

Dopad: Zobrazenie súboru QTL so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

Popis: Pri spracúvaní súborov QTL v aplikácii QuickTime dochádza k pretečeniu pamäte haldy. Útočník môže tým, že naláka používateľa na zobrazenie súboru QTL so škodlivým kódom, spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu.

QuickTime

CVE-ID: CVE-2007-4707

K dispozícii pre: Mac OS X 10.3.9, Mac OS X 10.4.9 alebo novší, Mac OS X 10.5 alebo novší, Windows Vista, XP SP2

Dopad: V nástroji na spracúvanie médií Flash v aplikácii QuickTime existuje viacero slabých miest.

Popis: V nástroji na spracúvanie médií Flash v aplikácii QuickTime existuje viacero slabých miest, z ktorých tie najzávažnejšie môžu viesť k spusteniu ľubovoľného kódu. V tejto aktualizácii je nástroj na spracúvanie médií Flash v aplikácii QuickTime deaktivovaný. Výnimkou je obmedzený počet existujúcich filmov QuickTime, o ktorých je známe, že sú bezpečné. Poďakovanie za nahlásenie tohto problému si zaslúžia Tom Ferris z tímu Adobe Secure Software Engineering Team (ASSET), Mike Price z tímu McAfee Avert Labs, bezpečnostní výskumníci Lionel d'Hauenens a Brian Mariani zo spoločnosti Syseclabs a anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint.