Obsah zabezpečenia v QuickTime 7.1.5
V tomto dokumente sa opisuje obsah zabezpečenia v QuickTime 7.1.5.
V tomto dokumente sa opisuje obsah zabezpečenia v apke QuickTime 7.1.5, ktorú je možné stiahnuť a nainštalovať prostredníctvom nastavení Aktualizácie softvéru alebo tu.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
Aktualizácia QuickTime 7.1.5
QuickTime
CVE-ID: CVE-2007-0711
K dispozícii pre: Windows Vista/XP/2000
Dopad: Zobrazenie súboru 3GP so škodlivým kódom môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu.
Popis: Pri spracovávaní videosúborov 3GP v QuickTime dochádza k pretečeniu rozsahu celých čísel. Nalákaním používateľa na otvorenie filmu so škodlivým kódom môže útočník spustiť pretečenie, ktoré môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši problém vykonávaním dodatočného overovania videosúborov 3GP. Tento problém nemá vplyv na systém Mac OS X. Poďakovanie za nahlásenie tohto problému si zaslúži JJ Reyes.
QuickTime
CVE-ID: CVE-2007-0712
K dispozícii pre: Mac OS X 10.3.9 a novší, Windows Vista/XP/2000
Dopad: Zobrazenie súboru MIDI so škodlivým kódom môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu.
Popis: Pri spracovávaní súborov MIDI v QuickTime dochádza k pretečeniu medzipamäte haldy. Nalákaním používateľa na otvorenie súboru MIDI so škodlivým kódom môže útočník spustiť pretečenie, ktoré môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši problém vykonávaním dodatočného overovania súborov MIDI. Poďakovanie za nahlásenie problému si zaslúži Mike Price z tímu McAfee AVERT Labs.
QuickTime
CVE-ID: CVE-2007-0713
K dispozícii pre: Mac OS X 10.3.9 a novší, Windows Vista/XP/2000
Dopad: Zobrazenie súboru filmu QuickTime so škodlivým kódom môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu.
Popis: Pri spracovávaní súborov filmov QuickTime v apke QuickTime dochádza k pretečeniu medzipamäte haldy. Nalákaním používateľa na prístup k filmu so škodlivým kódom môže útočník spustiť pretečenie, ktoré môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši problém vykonávaním dodatočného overovania filmov QuickTime. Poďakovanie za nahlásenie tohto problému si zaslúžia Mike Price z tímu McAfee AVERT Labs, Piotr Bania a Artur Ogloza.
QuickTime
CVE-ID: CVE-2007-0714
K dispozícii pre: Mac OS X 10.3.9 a novší, Windows Vista/XP/2000
Dopad: Zobrazenie súboru filmu QuickTime so škodlivým kódom môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu.
Popis: Pri spracovávaní atómov UDTA v súboroch filmov v QuickTime dochádza k pretečeniu rozsahu celých čísel. Nalákaním používateľa na prístup k filmu so škodlivým kódom môže útočník spustiť pretečenie, ktoré môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši problém vykonávaním dodatočného overovania filmov QuickTime. Poďakovanie za nahlásenie tohto problému si zaslúži Sowhat z tímu Nevis Labs a anonymný výskumník v spolupráci s tímom TippingPoint a projektom Zero Day Initiative.
QuickTime
CVE-ID: CVE-2007-0715
K dispozícii pre: Mac OS X 10.3.9 a novší, Windows Vista/XP/2000
Dopad: Zobrazenie súboru PICT so škodlivým kódom môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu.
Popis: Pri spracovávaní súborov PICT v QuickTime dochádza k pretečeniu medzipamäte haldy. Nalákaním používateľa na otvorenie súboru obrázka PICT so škodlivým kódom môže útočník spustiť pretečenie, ktoré môže viesť k spusteniu ľubovoľného kódu. Táto aktualizácia rieši problém vykonávaním dodatočného overovania súborov PICT. Poďakovanie za nahlásenie problému si zaslúži Mike Price z tímu McAfee AVERT Labs.
QuickTime
CVE-ID: CVE-2007-0716
K dispozícii pre: Mac OS X 10.3.9 a novší, Windows Vista/XP/2000
Dopad: Otvorenie súboru QTIF so škodlivým kódom môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu.
Popis: Pri spracovávaní súborov QTIF v QuickTime dochádza k pretečeniu zásobníka medzipamäte. Nalákaním používateľa na prístup k súboru QTIF so škodlivým kódom môže útočník spustiť pretečenie, ktoré môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši problém vykonávaním dodatočného overovania súborov QTIF. Poďakovanie za nahlásenie problému si zaslúži Mike Price z tímu McAfee AVERT Labs.
QuickTime
CVE-ID: CVE-2007-0717
K dispozícii pre: Mac OS X 10.3.9 a novší, Windows Vista/XP/2000
Dopad: Otvorenie súboru QTIF so škodlivým kódom môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu.
Popis: Pri spracovávaní súborov QTIF v QuickTime dochádza k pretečeniu rozsahu celých čísel. Nalákaním používateľa na prístup k súboru QTIF so škodlivým kódom môže útočník spustiť pretečenie, ktoré môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši problém vykonávaním dodatočného overovania súborov QTIF. Poďakovanie za nahlásenie problému si zaslúži Mike Price z tímu McAfee AVERT Labs.
QuickTime
CVE-ID: CVE-2007-0718
K dispozícii pre: Mac OS X 10.3.9 a novší, Windows Vista/XP/2000
Dopad: Otvorenie súboru QTIF so škodlivým kódom môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu.
Popis: Pri spracovávaní súborov QTIF v QuickTime dochádza k pretečeniu medzipamäte haldy. Nalákaním používateľa na prístup k súboru QTIF so škodlivým kódom môže útočník spustiť pretečenie, ktoré môže viesť k zlyhaniu apky alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši problém vykonávaním dodatočného overovania súborov QTIF. Poďakovanie za nahlásenie tohto problému si zaslúži Ruben Santamarta v spolupráci s programom iDefense Vulnerability Contributor Program a JJ Reyes.
QuickTime
CVE-ID: CVE-2006-4965, CVE-2007-0059
K dispozícii pre: Mac OS X 10.3.9 a novší, Windows Vista/XP/2000
Dopad: Zobrazenie súboru s filmom QuickTime alebo súboru QTL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu JavaScript v kontexte lokálnej domény.
Popis: V plugine prehliadača QuickTime dochádza k problému so skriptovaním medzi zónami. Nalákaním používateľa na otvorenie súboru s filmom QuickTime alebo súboru QTL so škodlivým kódom môže útočník vyvolať tento problém, čo môže viesť k spusteniu ľubovoľného kódu JavaScript v kontexte lokálnej domény. Tento problém bol opísaný na webovej stránke Month of Apple Bugs (MOAB-03-01-2007). Táto aktualizácia rieši problém vykonaním nasledujúcich zmien v spracovaní URL adries v atribúte qtnext v súboroch QTL a v položke HREFTracks vo filmoch QuickTime. Ak je film načítaný zo vzdialenej lokality, povolené sú len URL adresy „http:“ a „https:“. Ak je film načítaný lokálne, povolené sú len URL adresy „file:“.
QuickTime 7.1.5 pre Mac alebo Windows je možné získať z Aktualizácie softvéru alebo ručným stiahnutím zo stránky http://www.apple.com/quicktime/download/.