เกี่ยวกับเนื้อหาความปลอดภัยของ QuickTime 7.5
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ QuickTime 7.5 ซึ่งสามารถดาวน์โหลดและติดตั้งได้ผ่านการตั้งค่ารายการอัปเดตซอฟต์แวร์หรือจากรายการดาวน์โหลดของ Apple.
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"
QuickTime 7.5
QuickTime
CVE-ID: CVE-2008-1581
มีให้สำหรับ: Windows Vista, XP SP2
ผลกระทบ: การเปิดไฟล์ภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาในการจัดการโครงสร้าง PixData ของ QuickTime เมื่อประมวลผลภาพ PICT อาจทำให้เกิดบัฟเฟอร์ล้นแบบพอกพูนได้ การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบที่ใช้ Mac OS X ขอขอบคุณ Dyon Baling จาก Secunia Research สำหรับการรายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-1582
มีให้สำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 หรือใหม่กว่า, Windows Vista, XP SP2
ผลกระทบ: การเปิดไฟล์คอนเทนต์สื่อที่เข้ารหัส AAC ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการคอนเทนต์สื่อที่เข้ารหัส AAC ของ QuickTime การเปิดไฟล์สื่อที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาโดยการดำเนินการตรวจสอบไฟล์สื่อเพิ่มเติม ขอขอบคุณ Dave Soldera จาก NGS Software และ Jens Alfke สำหรับการรายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-1583
มีให้สำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 หรือใหม่กว่า, Windows Vista, XP SP2
ผลกระทบ: การเปิดไฟล์ภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนอยู่ในการจัดการภาพ PICT ของ QuickTime การเปิดไฟล์ภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอขอบคุณ Liam O Murchu จาก Symantec สำหรับการรายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-1584
มีให้สำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 หรือใหม่กว่า, Windows Vista, XP SP2
ผลกระทบ: การดูคอนเทนต์สื่อวิดีโอ Indeo 4 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาในการจัดการคอนเทนต์ตัวแปลงสัญญาณวิดีโอ Indeo ของ QuickTime อาจทำให้เกิดอาการบัฟเฟอร์ล้นทับกันได้ การดูไฟล์ภาพยนตร์ที่มีคอนเทนต์ตัวแปลงสัญญาณวิดีโอ Indeo ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาโดยการไม่เรนเดอร์คอนเทนต์ตัวแปลงสัญญาณวิดีโอ Indeo 4 ขอขอบคุณนักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint สำหรับการรายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-1585
มีให้สำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 หรือใหม่กว่า, Windows Vista, XP SP2
ผลกระทบ: การเล่นคอนเทนต์ QuickTime ที่ออกแบบมาเพื่อประสงค์ร้ายใน QuickTime Player อาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการจัดการ URL ในการจัดการไฟล์ URL ของ QuickTime ซึ่งอาจทำให้แอปพลิเคชันและไฟล์ที่สร้างขึ้นโดยอำเภอใจสามารถเปิดได้เมื่อผู้ใช้เล่นคอนเทนต์ QuickTime ที่ออกแบบมาเพื่อประสงค์ร้ายใน QuickTime Player การอัปเดตนี้จะแก้ไขปัญหาโดยการเปิดเผยไฟล์ใน Finder หรือ Windows Explorer แทนที่จะเปิดไฟล์ ขอขอบคุณ Vinoo Thomas และ Rahul Mohandas จาก McAfee Avert Labs, และ Petko D. (pdp) Petkov จาก GNUCITIZEN ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint สำหรับการรายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-2319
มีให้สำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 หรือใหม่กว่า, Windows Vista, XP SP2
ผลกระทบ: การเปิดไฟล์ภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาส่วนขยายการลงชื่อในการจัดการภาพ PICT ของ QuickTime อาจทำให้เกิดบัฟเฟอร์ล้นแบบพอกพูนได้ การเปิดไฟล์ภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ การอัปเดตนี้จะแก้ไขปัญหาโดยการถือว่าค่าไม่มีการลงชื่อ ขอขอบคุณ Sergio 'shadown' Alvarez จาก n.runs AG สำหรับการรายงานปัญหานี้