Om säkerhetsinnehållet i QuickTime 7.3

I det här dokumentet beskrivs säkerhetsinnehållet QuickTime 7.3. som kan hämtas och installeras via inställningarna för programuppdatering eller från Apples hämtningsbara filer.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

QuickTime 7.3

QuickTime

CVE-ID: CVE-2007-2395

Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2

Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod.

Beskrivning: Det finns ett problem med minneskorruption i QuickTimes hantering av bildbeskrivningsatomer. Genom att uppmana en användare att öppna en skadlig filmfil kan en angripare orsaka att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av QuickTime-bildbeskrivningar. Tack till Dylan Ashe från Adobe Systems Incorporated som rapporterade det här problemet.

QuickTime

CVE-ID: CVE-2007-3750

Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2

Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod.

Beskrivning: Ett heap-buffertspill finns i QuickTime Players hantering av STSD-atomer (Sample Table Sample Descriptor). Genom att uppmana en användare att öppna en skadlig filmfil kan en angripare orsaka att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av STSD-atomer. Tack till Tobias Klein från www.trapkit.de som rapporterade det här problemet.

QuickTime

CVE-ID: CVE-2007-3751

Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2

Effekt: Otillförlitliga Java-applets kan få högre behörigheter.

Beskrivning: Det finns flera sårbarheter i QuickTime för Java, vilket kan tillåta opålitliga Java-applets att få högre behörigheter. Genom att uppmana en användare att besöka en webbsida med en skadlig Java-applet kan en angripare orsaka att känslig information avslöjas och att opålitlig kod med högre behörigheter körs. Den här uppdateringen åtgärdar problemen genom att göra QuickTime för Java inte längre tillgängligt för opålitliga Java-applets. Tack till Adam Gowdiak som rapporterade det här problemet.

QuickTime

CVE-ID: CVE-2007-4672

Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2

Effekt: När en skadlig PICT-bild öppnas kan det leda till att programmet oväntat avslutas eller att opålitlig kod körs.

Beskrivning: Ett heap-buffertspill finns i PICT-bildbehandling. Genom att uppmana en användare att öppna en bild med skadligt innehåll kan en fjärrangripare orsaka oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av PICT-filer. Tack till Ruben Santamarta från reversemode.com som arbetar med TippingPoint och Zero Day Initiative som rapporterade det här problemet.

QuickTime

CVE-ID: CVE-2007-4676

Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2

Effekt: När en skadlig PICT-bild öppnas kan det leda till att programmet oväntat avslutas eller att opålitlig kod körs.

Beskrivning: Ett heap-buffertspill finns i PICT-bildbehandling. Genom att uppmana en användare att öppna en bild med skadligt innehåll kan en fjärrangripare orsaka oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av PICT-filer. Tack till Ruben Santamarta från reversemode.com som arbetar med TippingPoint och Zero Day Initiative som rapporterade det här problemet.

QuickTime

CVE-ID: CVE-2007-4675

Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2

Effekt: Uppspelning av en skadlig QTVR-filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod.

Beskrivning: Ett heapbuffertspill finns i QuickTimes hantering av panoramaprovatomer i QTVR-filmfiler (QuickTime Virtual Reality). Genom att uppmana en användare att visa en skadlig QTVR-fil kan en angripare orsaka att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra gränskontroller på panoramaprovatomer. Tack till Mario Ballano från 48bits.com som arbetar med VeriSign iDefense VCP som rapporterade det här problemet.

QuickTime

CVE-ID: CVE-2007-4677

Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2

Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod.

Beskrivning: Ett heap-buffertspill finns i analysen av färgtabellatomen när en filmfil öppnas. Genom att uppmana en användare att öppna en skadlig filmfil kan en angripare orsaka att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av färgtabellatomer. Tack till Ruben Santamarta från reversemode.com och Mario Ballano från 48bits.com som arbetar med TippingPoint och Zero Day Initiative som rapporterade det här problemet.

QuickTime

CVE-ID: CVE-2007-4674

Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2

Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod.

Beskrivning: Ett aritmetiskt heltalsproblem i QuickTimes hantering av vissa filmfilatomer kan leda till ett heapbuffertspill. Genom att uppmana en användare att öppna en skadlig filmfil kan en angripare orsaka att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad hantering av atomlängdsfält i filmfiler. Tack till Cody Pierce från TippingPoint DVLabs som rapporterade det här problemet.