Informácie o obsahu súvisiacom so zabezpečením aplikácie QuickTime 7.3

V tomto dokumente sa opisuje obsah súvisiaci so zabezpečením aplikácie QuickTime 7.3, ktorý je možné stiahnuť a nainštalovať prostredníctvom predvolieb v aplikácii Software Update alebo z webovej lokality spoločnosti Apple so súbormi na stiahnutie.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa tieto problémy úplne nepreskúmajú a kým nebudú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej lokalite zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Pokiaľ je to možné, ako odkazy na ďalšie informácie o príslušných chybách zabezpečenia sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia od spoločnosti Apple.

QuickTime 7.3

QuickTime

Identifikátor CVE: CVE-2007-2395

K dispozícii pre: Mac OS X v10.3.9, Mac OS X v10.4.9 alebo novší, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Zobrazenie súboru filmu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.

Popis: Pri spracovávaní atómov opisov obrázkov v aplikácii QuickTime dochádza k problému s poškodením obsahu pamäte. Útočník môže tým, že naláka používateľa na otvorenie súboru filmu so škodlivým kódom, spôsobiť neočakávané ukončenie aplikácie alebo vykonanie ľubovoľného kódu. Táto aktualizácia rieši tento problém prostredníctvom vykonávania dodatočného overovania opisov obrázkov v aplikácii QuickTime. Tento problém nahlásil Dylan Ashe zo spoločnosti Adobe Systems Incorporated, za čo mu patrí poďakovanie.

QuickTime

Identifikátor CVE: CVE-2007-3750

K dispozícii pre: Mac OS X v10.3.9, Mac OS X v10.4.9 alebo novší, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Zobrazenie súboru filmu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.

Popis: Pri spracúvaní atómov vzorových deskriptorov a vzorových tabuliek (STSD) v aplikácii QuickTime Player dochádza k pretečeniu medzipamäte haldy. Útočník môže tým, že naláka používateľa na otvorenie súboru filmu so škodlivým kódom, spôsobiť neočakávané ukončenie aplikácie alebo vykonanie ľubovoľného kódu. Táto aktualizácia rieši tento problém prostredníctvom vykonávania dodatočného overovania atómov STSD. Tento problém nahlásil Tobias Klein z www.trapkit.de, za čo mu patrí poďakovanie.

QuickTime

Identifikátor CVE: CVE-2007-3751

K dispozícii pre: Mac OS X v10.3.9, Mac OS X v10.4.9 alebo novší, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Nedôveryhodné applety Java môžu získať oprávnenia vyššej úrovne.

Popis: V knižnici QuickTime for Java existuje viacero chýb zabezpečenia, ktoré môžu nedôveryhodným appletom Java umožňovať získanie oprávnení vyššej úrovne. Útočník môže tým, že naláka používateľa na návštevu webovej stránky obsahujúcej applet Java so škodlivým kódom, spôsobiť sprístupnenie citlivých informácií a vykonanie ľubovoľného kódu so oprávneniami vyššej úrovne. Táto aktualizácia rieši tieto problémy prostredníctvom zneprístupnenia knižnice QuickTime for Java pre nedôveryhodné applety Java. Tento problém nahlásil Adam Gowdiak, za čo mu patrí poďakovanie.

QuickTime

Identifikátor CVE: CVE-2007-4672

K dispozícii pre: Mac OS X v10.3.9, Mac OS X v10.4.9 alebo novší, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Otvorenie obrázka PICT so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.

Popis: Pri spracovávaní obrázka PICT dochádza k pretečeniu medzipamäte zásobníka. Útočník môže tým, že naláka používateľa na otvorenie obrázka so škodlivým kódom, spôsobiť neočakávané ukončenie aplikácie alebo vykonanie ľubovoľného kódu. Táto aktualizácia rieši tento problém prostredníctvom vykonávania dodatočného overovania súborov PICT. Tento problém nahlásil Ruben Santamarta z reversemode.com v spolupráci so spoločnosťou TippingPoint a iniciatívou Zero Day Initiative, za čo im patrí poďakovanie.

QuickTime

Identifikátor CVE: CVE-2007-4676

K dispozícii pre: Mac OS X v10.3.9, Mac OS X v10.4.9 alebo novší, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Otvorenie obrázka PICT so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.

Popis: Pri spracovávaní obrázka PICT dochádza k pretečeniu medzipamäte haldy. Útočník môže tým, že naláka používateľa na otvorenie obrázka so škodlivým kódom, spôsobiť neočakávané ukončenie aplikácie alebo vykonanie ľubovoľného kódu. Táto aktualizácia rieši tento problém prostredníctvom vykonávania dodatočného overovania súborov PICT. Tento problém nahlásil Ruben Santamarta z reversemode.com v spolupráci so spoločnosťou TippingPoint a iniciatívou Zero Day Initiative, za čo im patrí poďakovanie.

QuickTime

Identifikátor CVE: CVE-2007-4675

K dispozícii pre: Mac OS X v10.3.9, Mac OS X v10.4.9 alebo novší, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Zobrazenie súboru filmu QTVR so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.

Popis: Pri spracúvaní atómov vzoriek panorámy v súboroch filmov QTVR (QuickTime Virtual Reality) dochádza k pretečeniu medzipamäte haldy. Útočník môže tým, že naláka používateľa na zobrazenie súboru QTVR so škodlivým kódom, spôsobiť neočakávané ukončenie aplikácie alebo vykonanie ľubovoľného kódu. Táto aktualizácia rieši tento problém prostredníctvom vykonávania kontroly hraníc atómov vzoriek panorámy. Tento problém nahlásil Mario Ballano z 48bits.com v spolupráci s programom VeriSign iDefense VCP, za čo mu patrí poďakovanie.

QuickTime

Identifikátor CVE: CVE-2007-4677

K dispozícii pre: Mac OS X v10.3.9, Mac OS X v10.4.9 alebo novší, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Zobrazenie súboru filmu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.

Popis: Pri analýze atómu tabuľky farieb pri otváraní súboru filmu dochádza k pretečeniu medzipamäte haldy. Útočník môže tým, že naláka používateľa na otvorenie súboru filmu so škodlivým kódom, spôsobiť neočakávané ukončenie aplikácie alebo vykonanie ľubovoľného kódu. Táto aktualizácia rieši tento problém prostredníctvom vykonávania dodatočného overovania atómov tabuľky farieb. Tento problém nahlásili Ruben Santamarta z reversemode.com a Mario Ballano z 48bits.com v spolupráci so spoločnosťou TippingPoint a iniciatívou Zero Day Initiative, za čo im patrí poďakovanie.

QuickTime

Identifikátor CVE: CVE-2007-4674

K dispozícii pre: Mac OS X v10.3.9, Mac OS X v10.4.9 alebo novší, Mac OS X v10.5, Windows Vista, XP SP2

Dopad: Zobrazenie súboru filmu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.

Popis: Problém s celočíselnou aritmetikou pri spracúvaní určitých atómov súborov filmov v aplikácii QuickTime môže viesť k pretečeniu medzipamäte zásobníka. Útočník môže tým, že naláka používateľa na otvorenie súboru filmu so škodlivým kódom, spôsobiť neočakávané ukončenie aplikácie alebo vykonanie ľubovoľného kódu. Táto aktualizácia rieši tento problém prostredníctvom vylepšeného spracovania polí dĺžky atómov v súboroch filmov. Tento problém nahlásil Cody Pierce zo spoločnosti TippingPoint DVLabs, za čo mu patrí poďakovanie.