เกี่ยวกับเนื้อหาด้านความปลอดภัยของ QuickTime 7.1.5

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ QuickTime 7.1.5

เอกสารนี้อธิบายเนื้อหาด้านความปลอดภัยของ QuickTime 7.1.5 ซึ่งสามารถดาวน์โหลดและติดตั้งผ่านการตั้งค่ารายการอัปเดตซอฟต์แวร์ หรือจากที่นี่

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"

การอัปเดต QuickTime 7.1.5

QuickTime

CVE-ID: CVE-2007-0711

มีให้สำหรับ: Windows Vista/XP/2000

ผลกระทบ: การดูไฟล์ 3GP ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการไฟล์วิดีโอ 3GP ของ QuickTime โดยการล่อลวงให้ผู้ใช้เปิดภาพยนตร์ที่ประสงค์ร้าย ผู้โจมตีสามารถทำให้เกิดการล้น ซึ่งอาจทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวด้วยการตรวจสอบความถูกต้องของไฟล์วิดีโอ 3GP เพิ่มเติม ปัญหานี้ไม่มีผลกับ Mac OS X ขอขอบคุณ JJ Reyes สำหรับการรายงานปัญหานี้

QuickTime

CVE-ID: CVE-2007-0712

มีให้สำหรับ: Mac OS X v10.3.9 และใหม่กว่า, Windows Vista/XP/2000

ผลกระทบ: การดูไฟล์ MIDI ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการไฟล์ MIDI ของ QuickTime โดยการล่อลวงให้ผู้ใช้เปิดไฟล์ MIDI ที่เป็นอันตราย ผู้โจมตีสามารถทำให้เกิดการล้น ซึ่งอาจทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวด้วยการตรวจสอบความถูกต้องของไฟล์ MIDI เพิ่มเติม ขอขอบคุณ Mike Price จาก McAfee AVERT Labs สำหรับการรายงานปัญหานี้

QuickTime

CVE-ID: CVE-2007-0713

มีให้สำหรับ: Mac OS X v10.3.9 และใหม่กว่า, Windows Vista/XP/2000

ผลกระทบ: การดูไฟล์ภาพยนตร์ QuickTime ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการไฟล์ภาพยนตร์ QuickTime ของ QuickTime โดยการล่อลวงให้ผู้ใช้เข้าถึงภาพยนตร์ที่สร้างขึ้นมาอย่างประสงค์ร้าย ผู้โจมตีสามารถทำให้เกิดการล้น ซึ่งอาจทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวด้วยการตรวจสอบความถูกต้องของภาพยนตร์ QuickTime เพิ่มเติม ขอขอบคุณ Mike Price จาก McAfee AVERT Labs, Piotr Bania และ Artur Ogloza สำหรับการรายงานปัญหานี้

QuickTime

CVE-ID: CVE-2007-0714

มีให้สำหรับ: Mac OS X v10.3.9 และใหม่กว่า, Windows Vista/XP/2000

ผลกระทบ: การดูไฟล์ภาพยนตร์ QuickTime ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการอะตอม UDTA ในไฟล์ภาพยนตร์ของ QuickTime โดยการล่อลวงให้ผู้ใช้เข้าถึงภาพยนตร์ที่สร้างขึ้นมาอย่างประสงค์ร้าย ผู้โจมตีสามารถทำให้เกิดการล้น ซึ่งอาจทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวด้วยการตรวจสอบความถูกต้องของภาพยนตร์ QuickTime เพิ่มเติม ขอขอบคุณ Sowhat of Nevis Labs และนักวิจัยนิรนามที่ทำงานร่วมกับ TippingPoint และ Zero Day Initiative สำหรับการรายงานปัญหานี้

QuickTime

CVE-ID: CVE-2007-0715

มีให้สำหรับ: Mac OS X v10.3.9 และใหม่กว่า, Windows Vista/XP/2000

ผลกระทบ: การดูไฟล์ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทําให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอําเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการไฟล์ PICT ของ QuickTime โดยการล่อลวงให้ผู้ใช้เปิดไฟล์ภาพ PICT ที่ประสงค์ร้าย ผู้โจมตีสามารถทำให้เกิดการล้นซึ่งอาจนำไปสู่การใช้รหัสโดยอำเภอใจ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดำเนินการตรวจสอบความถูกต้องของไฟล์ PICT เพิ่มเติม ขอขอบคุณ Mike Price จาก McAfee AVERT Labs สำหรับการรายงานปัญหานี้

QuickTime

CVE-ID: CVE-2007-0716

มีให้สำหรับ: Mac OS X v10.3.9 และใหม่กว่า, Windows Vista/XP/2000

ผลกระทบ: การเปิดไฟล์ QTIF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ของสแต็กล้นอยู่ในการจัดการไฟล์ QTIF ของ QuickTime โดยการล่อลวงให้ผู้ใช้เข้าถึงไฟล์ QTIF ที่ออกแบบมาเพื่อประสงค์ร้าย ผู้โจมตีสามารถทำให้เกิดการล้น ซึ่งทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยดำเนินการตรวจสอบความถูกต้องของไฟล์ QTIF เพิ่มเติม ขอขอบคุณ Mike Price จาก McAfee AVERT Labs สำหรับการรายงานปัญหานี้

QuickTime

CVE-ID: CVE-2007-0717

มีให้สำหรับ: Mac OS X v10.3.9 และใหม่กว่า, Windows Vista/XP/2000

ผลกระทบ: การเปิดไฟล์ QTIF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการไฟล์ QTIF ของ QuickTime โดยการล่อลวงให้ผู้ใช้เข้าถึงไฟล์ QTIF ที่ออกแบบมาเพื่อประสงค์ร้าย ผู้โจมตีสามารถทำให้เกิดการล้น ซึ่งทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยดำเนินการตรวจสอบความถูกต้องของไฟล์ QTIF เพิ่มเติม ขอขอบคุณ Mike Price จาก McAfee AVERT Labs สำหรับการรายงานปัญหานี้

QuickTime

CVE-ID: CVE-2007-0718

มีให้สำหรับ: Mac OS X v10.3.9 และใหม่กว่า, Windows Vista/XP/2000

ผลกระทบ: การเปิดไฟล์ QTIF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการไฟล์ QTIF ของ QuickTime โดยการล่อลวงให้ผู้ใช้เข้าถึงไฟล์ QTIF ที่ออกแบบมาเพื่อประสงค์ร้าย ผู้โจมตีสามารถทำให้เกิดการล้น ซึ่งทำให้แอปพลิเคชันขัดข้องหรือนำไปสู่การใช้รหัสโดยอำเภอใจ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยดำเนินการตรวจสอบความถูกต้องของไฟล์ QTIF เพิ่มเติม ขอขอบคุณ Ruben Santamarta ที่ทำงานร่วมกับ iDefense Vulnerability Contributor Program และ JJ Reyes สำหรับการรายงานปัญหานี้

QuickTime

CVE-ID: CVE-2006-4965, CVE-2007-0059

มีให้สำหรับ: Mac OS X v10.3.9 และใหม่กว่า, Windows Vista/XP/2000

ผลกระทบ: การดูไฟล์ภาพยนตร์ QuickTime หรือไฟล์ QTL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัส JavaScript โดยอำเภอใจในบริบทของโดเมนภายในเครื่อง

คำอธิบาย: มีปัญหาการเขียนสคริปต์ข้ามโซนในปลั๊กอินของเบราว์เซอร์ QuickTime โดยการล่อลวงให้ผู้ใช้เปิดไฟล์ภาพยนตร์ QuickTime หรือไฟล์ QTL ที่ประสงค์ร้าย ผู้โจมตีสามารถทำให้เกิดปัญหา ซึ่งอาจนำไปสู่การเรียกใช้รหัส JavaScript ตามอำเภอใจในบริบทของโดเมนภายในเครื่อง ปัญหานี้ได้รับการอธิบายในเว็บไซต์ Month of Apple Bugs (MOAB-03-01-2007) รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยทำการเปลี่ยนแปลงต่อไปนี้กับการจัดการ URL ในแอตทริบิวต์ qtnext ของไฟล์ QTL และ HREFTracks ในภาพยนตร์ QuickTime อนุญาตเฉพาะ URL "http:" และ "https:" หากมีการโหลดภาพยนตร์จากไซต์ระยะไกล อนุญาตเฉพาะ URL "file:" หากโหลดภาพยนตร์ในเครื่อง

สามารถรับ QuickTime 7.1.5 สำหรับ Mac หรือ windows จากการอัปเดตซอฟต์แวร์หรือดาวน์โหลดด้วยตนเองจาก: http://www.apple.com/quicktime/download/