เกี่ยวกับเนื้อหาด้านความปลอดภัยของ QuickTime 7.3
เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ QuickTime 7.3 ซึ่งสามารถดาวน์โหลดและติดตั้งผ่านการตั้งค่ารายการอัปเดตซอฟต์แวร์ หรือจากรายการดาวน์โหลดของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย พูดคุย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบอย่างเต็มรูปแบบ และมีแพตช์หรือรายการเปิดตัวที่จำเป็นพร้อมให้ใช้งาน หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ รายการอัปเดตความปลอดภัยของ Apple
QuickTime 7.3
QuickTime
CVE-ID: CVE-2007-2395
พร้อมให้ใช้งานสำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 หรือใหม่กว่า, Mac OS X v10.5, Windows Vista, XP SP2
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: มีปัญหาหน่วยความจําเสียหายในการจัดการอะตอมคําอธิบายภาพของ QuickTime ผู้โจมตีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ โดยการล่อลวงให้ผู้ใช้เปิดไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยดําเนินการตรวจสอบคําอธิบายภาพ QuickTime เพิ่มเติม ขอขอบคุณ Dylan Ashe จาก Adobe Systems Incorporated สําหรับการรายงานปัญหานี้
QuickTime
CVE-ID: CVE-2007-3750
พร้อมให้ใช้งานสำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 หรือใหม่กว่า, Mac OS X v10.5, Windows Vista, XP SP2
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: มีบัฟเฟอร์ล้นหน่วยความจำ Heap อยู่ในการจัดการอะตอม Sample Table Sample Descriptor (STSD) ของ QuickTime Player ผู้โจมตีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ โดยการล่อลวงให้ผู้ใช้เปิดไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดําเนินการตรวจสอบอะตอม STSD เพิ่มเติม ขอขอบคุณ Tobias Klein จาก www.trapkit.de สําหรับการรายงานปัญหานี้
QuickTime
CVE-ID: CVE-2007-3751
พร้อมให้ใช้งานสำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 หรือใหม่กว่า, Mac OS X v10.5, Windows Vista, XP SP2
ผลกระทบ: แอปเพล็ต Java ที่ไม่น่าเชื่อถืออาจได้รับสิทธิ์ระดับสูง
คําอธิบาย: มีช่องโหว่หลายจุดใน QuickTime สําหรับ Java ซึ่งอาจทําให้แอปเพล็ต Java ที่ไม่น่าเชื่อถือได้รับสิทธิ์ระดับสูง ผู้โจมตีอาจทำให้อาจทําให้เกิดการเปิดเผยข้อมูลที่ละเอียดอ่อนหรือมีการรันโค้ดโดยพลการพร้อมสิทธิ์ระดับสูง โดยการล่อลวงให้ผู้ใช้เยี่ยมชมหน้าเว็บที่มีแอปเพล็ต Java ที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการทําให้แอปเพล็ต Java ที่ไม่น่าเชื่อถือไม่สามารถเข้าถึง QuickTime สําหรับ Java ได้อีกต่อไป ขอขอบคุณ Adam Gowdiak สำหรับการรายงานปัญหานี้
QuickTime
CVE-ID: CVE-2007-4672
พร้อมให้ใช้งานสำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 หรือใหม่กว่า, Mac OS X v10.5, Windows Vista, XP SP2
ผลกระทบ: การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: มีบัฟเฟอร์ล้นแบบ Stack ในการประมวลผลภาพ PICT ผู้โจมตีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ โดยการล่อลวงให้ผู้ใช้เปิดภาพที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดําเนินการตรวจสอบไฟล์ PICT เพิ่มเติม ขอขอบคุณ Ruben Santamarta จาก reversemode.com ที่ทำงานร่วมกับ TippingPoint และ Zero Day Initiative สำหรับการรายงานปัญหานี้
QuickTime
CVE-ID: CVE-2007-4676
พร้อมให้ใช้งานสำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 หรือใหม่กว่า, Mac OS X v10.5, Windows Vista, XP SP2
ผลกระทบ: การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: มีบัฟเฟอร์ล้นหน่วยความจำ Heap ในการประมวลผลภาพ PICT ผู้โจมตีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ โดยการล่อลวงให้ผู้ใช้เปิดภาพที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดําเนินการตรวจสอบไฟล์ PICT เพิ่มเติม ขอขอบคุณ Ruben Santamarta จาก reversemode.com ที่ทํางานร่วมกับ TippingPoint และ Zero Day Initiative สําหรับการรายงานปัญหานี้
QuickTime
CVE-ID: CVE-2007-4675
พร้อมให้ใช้งานสำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 หรือใหม่กว่า, Mac OS X v10.5, Windows Vista, XP SP2
ผลกระทบ: การดูไฟล์ภาพยนตร์ QTVR ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: มีบัฟเฟอร์ล้นหน่วยความจำ Heap ในการจัดการอะตอมตัวอย่างพาโนรามาของ QuickTime ในไฟล์ภาพยนตร์ QTVR (QuickTime Virtual Reality) ผู้โจมตีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ โดยการล่อลวงให้ผู้ใช้ดูไฟล์ QTVR ที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดำเนินการตรวจสอบขอบเขตอะตอมตัวอย่างพาโนรามา ขอขอบคุณ Mario Ballano จาก 48bits.com ที่ทํางานร่วมกับ VeriSign iDefense VCP สําหรับการรายงานปัญหานี้
QuickTime
CVE-ID: CVE-2007-4677
พร้อมให้ใช้งานสำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 หรือใหม่กว่า, Mac OS X v10.5, Windows Vista, XP SP2
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: มีบัฟเฟอร์ล้นหน่วยความจำ Heap ในการแยกวิเคราะห์อะตอมของตารางสีเมื่อเปิดไฟล์ภาพยนตร์ ผู้โจมตีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ โดยการล่อลวงให้ผู้เปิดไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดําเนินการตรวจสอบอะตอมของตารางสีเพิ่มเติม ขอขอบคุณ Ruben Santamarta จาก reversemode.com และ Mario Ballano จาก 48bits.com ที่ทํางานร่วมกับ TippingPoint และ Zero Day Initiative สําหรับการรายงานปัญหานี้
QuickTime
CVE-ID: CVE-2007-4674
พร้อมให้ใช้งานสำหรับ: Mac OS X v10.3.9, Mac OS X v10.4.9 หรือใหม่กว่า, Mac OS X v10.5, Windows Vista, XP SP2
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: ปัญหาเลขคณิตจํานวนเต็มในการจัดการอะตอมของไฟล์ภาพยนตร์บางรายการของ QuickTime อาจทําให้เกิดบัฟเฟอร์ล้นแบบ Stack ผู้โจมตีอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ โดยการล่อลวงให้ผู้เปิดไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวผ่านการปรับปรุงการจัดการฟิลด์ความยาวของอะตอมในไฟล์ภาพยนตร์ให้ดียิ่งขึ้น ขอขอบคุณ Cody Pierce จาก TippingPoint DVLabs สําหรับการรายงานปัญหานี้
ข้อสำคัญ: ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ Apple ไม่ได้ผลิตขึ้นมีไว้เพื่อแจ้งให้ทราบเท่านั้น และไม่ถือเป็นการแนะนำหรือการรับรองจาก Apple แต่อย่างใด หากต้องการข้อมูลเพิ่มเติม โปรดติดต่อผู้ขาย