เกี่ยวกับเนื้อหาความปลอดภัยของ QuickTime 7.5.5
เอกสารนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ QuickTime 7.5.5 ซึ่งสามารถดาวน์โหลดและติดตั้งผ่านการตั้งค่ารายการอัปเดตซอฟต์แวร์ หรือจากรายการดาวน์โหลดของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือรายการอัปเดตที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่ความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"
QuickTime 7.5.5
QuickTime
CVE-ID: CVE-2008-3615
มีให้สําหรับ: Windows Vista, XP SP2 และ SP3
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ยังไม่ได้กำหนดค่าในตัวแปลง Indeo v5 ของบริษัทอื่นสำหรับ QuickTime ที่ไม่ได้จัดส่งพร้อมกับ QuickTime ด้วยเหตุนี้การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการไม่เรนเดอร์คอนเทนต์ที่เข้ารหัสด้วยตัวแปลง Indeo ทุกเวอร์ชั่น ปัญหานี้ไม่ส่งผลกระทบต่อระบบที่ใช้ Mac OS X ขอขอบคุณ Paul Byrne จาก NGSSoftware ที่รายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-3635
มีให้สําหรับ: Windows Vista, XP SP2 และ SP3
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: มีปัญหาบัฟเฟอร์ล้นทับกันในตัวแปลง Indeo v3.2 ของบริษัทอื่นสำหรับ QuickTime ด้วยเหตุนี้การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการไม่เรนเดอร์คอนเทนต์ที่เข้ารหัสด้วยตัวแปลง Indeo ทุกเวอร์ชั่น ปัญหานี้ไม่ส่งผลกระทบต่อระบบที่ใช้ Mac OS X ขอขอบคุณนักวิจัยนิรนามซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint ที่รายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-3624
มีให้สําหรับ: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 หรือใหม่กว่า, Windows Vista, XP SP2 และ SP3
ผลกระทบ: การดูไฟล์ภาพยนตร์ QTVR ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนเมื่อ QuickTime จัดการ Panorama Atom ในไฟล์ภาพยนตร์ QTVR (QuickTime Virtual Reality) การดูไฟล์ภาพยนตร์ QTVR ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวผ่านการปรับปรุงการตรวจสอบขอบเขต Panorama Atom ให้ดียิ่งขึ้น ขอขอบคุณ Roee Hay จาก IBM Rational Application Security Research Group ที่รายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-3625
มีให้สําหรับ: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 หรือใหม่กว่า, Windows Vista, XP SP2 และ SP3
ผลกระทบ: การดูไฟล์ภาพยนตร์ QTVR ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: มีปัญหาบัฟเฟอร์ล้นทับกันเมื่อ QuickTime จัดการ Panorama Atom ในไฟล์ภาพยนตร์ QTVR (QuickTime Virtual Reality) การดูไฟล์ภาพยนตร์ QTVR ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวผ่านการปรับปรุงการตรวจสอบขอบเขต Panorama Atom ให้ดียิ่งขึ้น ขอบคุณนักวิจัยนิรนามซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint ที่รายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-3614
มีให้สำหรับ: Windows Vista, XP SP2 และ SP3
ผลกระทบ: การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: มีปัญหาจำนวนเต็มล้นเมื่อ QuickTime จัดการกับภาพ PICT ด้วยเหตุนี้การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการตรวจสอบความถูกต้องของภาพ PICT เพิ่มเติม ขอขอบคุณนักวิจัยนิรนามที่ทำงานร่วมกับ iDefense VCP ที่รายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-3626
มีให้สําหรับ: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 หรือใหม่กว่า, Windows Vista, XP SP2 และ SP3
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: มีปัญหาหน่วยความจำเสียหายเมื่อ QuickTime จัดการกับ STSZ Atom ในไฟล์ภาพยนตร์ ด้วยเหตุนี้การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวผ่านการปรับปรุงการตรวจสอบขอบเขต STSZ Atom ให้ดียิ่งขึ้น ขอบคุณนักวิจัยนิรนามซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint ที่รายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-3627
มีให้สําหรับ: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 หรือใหม่กว่า, Windows Vista, XP SP2 และ SP3
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: มีปัญหาหน่วยความจำเสียหายจำนวนมากเมื่อ QuickTime จัดการกับไฟล์ภาพยนตร์ที่เข้ารหัส H.264 ด้วยเหตุนี้การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบความถูกต้องของไฟล์ภาพยนตร์ที่เข้ารหัส H.264 เพิ่มเติม ขอขอบคุณนักวิจัยนิรนามและ Subreption LLC ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint ที่รายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-3628
มีให้สำหรับ: Windows Vista, XP SP2 และ SP3
ผลกระทบ: การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: มีปัญหาตัวชี้ไม่ถูกต้องเมื่อ QuickTime จัดการกับภาพ PICT ด้วยเหตุนี้การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการบันทึกและจัดเก็บตัวแปรส่วนกลางอย่างถูกต้อง ปัญหานี้ไม่ส่งผลกระทบต่อระบบที่ใช้ Mac OS X ขอขอบคุณ David Wharton ที่รายงานปัญหานี้
QuickTime
CVE-ID: CVE-2008-3629
มีให้สําหรับ: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 หรือใหม่กว่า, Windows Vista, XP SP2 และ SP3
ผลกระทบ: การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด
คําอธิบาย: มีปัญหาการอ่านนอกขอบเขตเมื่อ QuickTime จัดการกับภาพ PICT ด้วยเหตุนี้การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการตรวจสอบความถูกต้องของภาพ PICT เพิ่มเติม ขอขอบคุณ Sergio 'shadown' Alvarez จาก n.runs AG ที่รายงานปัญหานี้
สำคัญ: ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ Apple ไม่ได้ผลิตขึ้นมีไว้เพื่อแจ้งให้ทราบเท่านั้น และไม่ถือเป็นการแนะนำหรือการรับรองของ Apple แต่อย่างใด โปรดติดต่อผู้จำหน่ายเพื่อขอข้อมูลเพิ่มเติม