Om säkerhetsinnehållet i QuickTime 7.1.6

Detta dokument beskriver säkerhetsuppdatering 2007-004 v1.1, som kan hämtas och installeras via inställningspanelen Programuppdatering eller från Apples hämtningssida.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har utförts och alla nödvändiga patchar eller utgåvor är tillgängliga. Gå till webbplatsen Apple Product Security för mer om information om Apples produktsäkerhet.

Information om Apples PGP-nyckel för produktsäkerhet finns tillgänglig på sidan How to use the Apple Product Security PGP Key.

Om möjligt används CVE ID:n som referenser till ytterligare information om sårbarheterna.

Gå till sidan Apple Security Updates för information om andra säkerhetsuppdateringar.

QuickTime 7.1.6-uppdatering

  • QuickTime

    CVE-ID: CVE-2007-2175

    Tillgänglig för: Mac OS X v10.3.9, Mac OS X v10.4.9, Windows XP SP2, Windows 2000 SP4

    Inverkan: Besök på illvilliga webbplatser kan leda till exekvering av en godtycklig kod

    Beskrivning: Det förekommer ett implementeringsproblem i QuickTime for Java, vilket kan göra det möjligt att läsa eller skriva utanför det allokerade heap-området. Genom att locka en användare till att besöka en webbplats med ett uppsåtligt skapad Java-miniprogram kan en angripare utlösa problemet, som i sin tur kan leda till exekvering av opålitlig kod. Denna uppdatering åtgärdar problemet genom att utföra ytterligare gränsvärdeskontroller när QTPointerRef-objekt skapas. Tack till Dino Dai Zovi i samarbete med TippingPoint och Zero Day Initiative som rapporterade detta problem.

Publiceringsdatum: