Om säkerhetsinnehållet i QuickTime 7.3
I det här dokumentet beskrivs säkerhetsinnehållet QuickTime 7.3. som kan hämtas och installeras via inställningarna för programuppdatering eller från Apples hämtningsbara filer.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
QuickTime 7.3
QuickTime
CVE-ID: CVE-2007-2395
Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2
Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Det finns ett problem med minneskorruption i QuickTimes hantering av bildbeskrivningsatomer. Genom att uppmana en användare att öppna en skadlig filmfil kan en angripare orsaka att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av QuickTime-bildbeskrivningar. Tack till Dylan Ashe från Adobe Systems Incorporated som rapporterade det här problemet.
QuickTime
CVE-ID: CVE-2007-3750
Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2
Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Ett heap-buffertspill finns i QuickTime Players hantering av STSD-atomer (Sample Table Sample Descriptor). Genom att uppmana en användare att öppna en skadlig filmfil kan en angripare orsaka att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av STSD-atomer. Tack till Tobias Klein från www.trapkit.de som rapporterade det här problemet.
QuickTime
CVE-ID: CVE-2007-3751
Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2
Effekt: Otillförlitliga Java-applets kan få högre behörigheter.
Beskrivning: Det finns flera sårbarheter i QuickTime för Java, vilket kan tillåta opålitliga Java-applets att få högre behörigheter. Genom att uppmana en användare att besöka en webbsida med en skadlig Java-applet kan en angripare orsaka att känslig information avslöjas och att opålitlig kod med högre behörigheter körs. Den här uppdateringen åtgärdar problemen genom att göra QuickTime för Java inte längre tillgängligt för opålitliga Java-applets. Tack till Adam Gowdiak som rapporterade det här problemet.
QuickTime
CVE-ID: CVE-2007-4672
Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2
Effekt: När en skadlig PICT-bild öppnas kan det leda till att programmet oväntat avslutas eller att opålitlig kod körs.
Beskrivning: Ett heap-buffertspill finns i PICT-bildbehandling. Genom att uppmana en användare att öppna en bild med skadligt innehåll kan en fjärrangripare orsaka oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av PICT-filer. Tack till Ruben Santamarta från reversemode.com som arbetar med TippingPoint och Zero Day Initiative som rapporterade det här problemet.
QuickTime
CVE-ID: CVE-2007-4676
Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2
Effekt: När en skadlig PICT-bild öppnas kan det leda till att programmet oväntat avslutas eller att opålitlig kod körs.
Beskrivning: Ett heap-buffertspill finns i PICT-bildbehandling. Genom att uppmana en användare att öppna en bild med skadligt innehåll kan en fjärrangripare orsaka oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av PICT-filer. Tack till Ruben Santamarta från reversemode.com som arbetar med TippingPoint och Zero Day Initiative som rapporterade det här problemet.
QuickTime
CVE-ID: CVE-2007-4675
Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2
Effekt: Uppspelning av en skadlig QTVR-filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Ett heapbuffertspill finns i QuickTimes hantering av panoramaprovatomer i QTVR-filmfiler (QuickTime Virtual Reality). Genom att uppmana en användare att visa en skadlig QTVR-fil kan en angripare orsaka att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra gränskontroller på panoramaprovatomer. Tack till Mario Ballano från 48bits.com som arbetar med VeriSign iDefense VCP som rapporterade det här problemet.
QuickTime
CVE-ID: CVE-2007-4677
Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2
Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Ett heap-buffertspill finns i analysen av färgtabellatomen när en filmfil öppnas. Genom att uppmana en användare att öppna en skadlig filmfil kan en angripare orsaka att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av färgtabellatomer. Tack till Ruben Santamarta från reversemode.com och Mario Ballano från 48bits.com som arbetar med TippingPoint och Zero Day Initiative som rapporterade det här problemet.
QuickTime
CVE-ID: CVE-2007-4674
Tillgänglig för: Mac OS X 10.3.9, Mac OS X 10.4.9 eller senare, Mac OS X 10.5, Windows Vista, XP SP2
Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Ett aritmetiskt heltalsproblem i QuickTimes hantering av vissa filmfilatomer kan leda till ett heapbuffertspill. Genom att uppmana en användare att öppna en skadlig filmfil kan en angripare orsaka att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad hantering av atomlängdsfält i filmfiler. Tack till Cody Pierce från TippingPoint DVLabs som rapporterade det här problemet.
Viktigt: Information om produkter som inte tillverkas av Apple tillhandahålls endast i informationssyfte och utgör inte Apples rekommendation eller stöd. Kontakta leverantören för ytterligare information.