QuickTime 7.3'ün güvenlik içeriği hakkında

Bu belgede QuickTime 7.3'ün güvenlik içeriği açıklanmaktadır. Bu içerik, Yazılım Güncelleme tercihleri aracılığıyla veya Apple İndirilenler sayfasından indirilip yüklenebilir.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

QuickTime 7.3

QuickTime

CVE Kimliği: CVE-2007-2395

İlgili sürümler: Mac OS X v10.3.9, Mac OS X v10.4.9 veya sonraki sürümleri, Mac OS X v10.5, Windows Vista, XP SP2

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

Açıklama: QuickTime'da görsel tanımlama atomlarının işlenmesinde bir bellek bozulması sorunu var. Bir saldırgan, bir kullanıcıyı kötü amaçlarla oluşturulmuş bir film dosyasını açmaya ikna ederek uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, QuickTime görüntü açıklamalarında ek doğrulama gerçekleştirerek sorunu giderir. Bu sorunu bildirdiği için Adobe Systems Incorporated'den Dylan Ashe'ye teşekkür ederiz.

QuickTime

CVE Kimliği: CVE-2007-3750

İlgili sürümler: Mac OS X v10.3.9, Mac OS X v10.4.9 veya sonraki sürümleri, Mac OS X v10.5, Windows Vista, XP SP2

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

Açıklama: QuickTime Player'ın Sample Table Sample Descriptor (STSD) atomlarını işlemesinde bir yığın arabellek taşması vardır. Bir saldırgan, bir kullanıcıyı kötü amaçlarla oluşturulmuş bir film dosyasını açmaya ikna ederek uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, STSD atomlarında ek doğrulama gerçekleştirerek sorunu giderir. Bu sorunu bildirdiği için www.trapkit.de'den Tobias Klein'a teşekkür ederiz.

QuickTime

CVE Kimliği: CVE-2007-3751

İlgili sürümler: Mac OS X v10.3.9, Mac OS X v10.4.9 veya sonraki sürümleri, Mac OS X v10.5, Windows Vista, XP SP2

Etki: Güvenilmeyen Java uygulama parçaları yükseltilmiş ayrıcalıklar elde edebilir.

Açıklama: Java için QuickTime'da, güvenilmeyen Java uygulama parçalarının yükseltilmiş ayrıcalıklar elde etmesine izin verebilecek birden fazla güvenlik açığı vardır. Bir saldırgan, bir kullanıcıyı kötü amaçlarla oluşturulmuş bir Java uygulaması içeren bir web sayfasını ziyaret etmeye ikna ederek, hassas bilgilerin ifşa edilmesine ve yüksek ayrıcalıklarla rastgele kod yürütülmesine neden olabilir. Bu güncelleme, Java için QuickTime'ı güvenilmeyen Java uygulamaları için erişilemez hale getirerek sorunları giderir. Bu sorunu bildirdiği için Adam Gowdiak'a teşekkür ederiz.

QuickTime

CVE Kimliği: CVE-2007-4672

İlgili sürümler: Mac OS X v10.3.9, Mac OS X v10.4.9 veya sonraki sürümleri, Mac OS X v10.5, Windows Vista, XP SP2

Etki: Kötü amaçlarla oluşturulmuş bir PICT görselini açmak, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

Açıklama: PICT görüntü işlemede bir yığın arabellek taşması vardır. Bir saldırgan, bir kullanıcıyı kötü amaçlarla oluşturulmuş bir resmi açmaya ikna ederek uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, PICT dosyalarının ek doğrulamasını gerçekleştirerek sorunu giderir. Bu sorunu bildirdiği için TippingPoint ve Zero Day Initiative ile birlikte çalışan reversemode.com'dan Ruben Santamarta'ya teşekkür ederiz.

QuickTime

CVE Kimliği: CVE-2007-4676

İlgili sürümler: Mac OS X v10.3.9, Mac OS X v10.4.9 veya sonraki sürümleri, Mac OS X v10.5, Windows Vista, XP SP2

Etki: Kötü amaçlarla oluşturulmuş bir PICT görselini açmak, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

Açıklama: PICT görüntü işlemede bir yığın arabellek taşması vardır. Bir saldırgan, bir kullanıcıyı kötü amaçlarla oluşturulmuş bir resmi açmaya ikna ederek uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, PICT dosyalarının ek doğrulamasını gerçekleştirerek sorunu giderir. Bu sorunu bildirdiği için TippingPoint ve Zero Day Initiative ile birlikte çalışan reversemode.com'dan Ruben Santamarta'ya teşekkür ederiz.

QuickTime

CVE Kimliği: CVE-2007-4675

İlgili sürümler: Mac OS X v10.3.9, Mac OS X v10.4.9 veya sonraki sürümleri, Mac OS X v10.5, Windows Vista, XP SP2

Etki: Kötü amaçlarla oluşturulmuş bir QTVR film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

Açıklama: QuickTime'ın QTVR (QuickTime Virtual Reality) film dosyalarındaki panorama örnek atomlarını işlemesinde bir yığın arabellek taşması vardır. Bir saldırgan, kullanıcıyı kandırıp kötü amaçlarla oluşturulmuş bir QTVR dosyasını görüntülemeye teşvik ederek uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, panorama örnek atomlarında sınır denetimi yaparak sorunu giderir. Bu sorunu bildirdiği için VeriSign iDefense VCP ile çalışan 48bits.com'dan Mario Ballano'ya teşekkür ederiz.

QuickTime

CVE Kimliği: CVE-2007-4677

İlgili sürümler: Mac OS X v10.3.9, Mac OS X v10.4.9 veya sonraki sürümleri, Mac OS X v10.5, Windows Vista, XP SP2

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

Açıklama: Bir film dosyasını açarken renk tablosu atomunun ayrıştırılmasında bir yığın arabellek taşması vardır. Bir saldırgan, bir kullanıcıyı kötü amaçlarla oluşturulmuş bir film dosyasını açmaya ikna ederek uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, renk tablosu atomları için ek doğrulama gerçekleştirerek sorunu giderir. Bu sorunu bildirdikleri için TippingPoint ve Zero Day Initiative ile birlikte çalışan reversemode.com'dan Ruben Santamarta ve 48bits.com'dan Mario Ballano'ya teşekkür ederiz.

QuickTime

CVE Kimliği: CVE-2007-4674

İlgili sürümler: Mac OS X v10.3.9, Mac OS X v10.4.9 veya sonraki sürümleri, Mac OS X v10.5, Windows Vista, XP SP2

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

Açıklama: QuickTime'ın belirli film dosyası atomlarını işlemesindeki bir tamsayı aritmetik sorunu, bir yığın arabellek taşmasına neden olabilir. Bir saldırgan, bir kullanıcıyı kötü amaçlarla oluşturulmuş bir film dosyasını açmaya ikna ederek uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, film dosyalarındaki atom uzunluğu alanlarının daha iyi işlenmesi yoluyla sorunu giderir. Bu sorunu bildirdiği için TippingPoint DVLabs şirketinden Cody Pierce'a teşekkür ederiz.