Відомості про проблеми системи безпеки, які усунено в оновленні QuickTime 7.3.1

У цьому документі описано проблеми системи безпеки, які усунено в оновленні QuickTime 7.3.1, яке можна завантажити та інсталювати за допомогою функції «Оновлення ПЗ» або на сторінці матеріалів для завантаження Apple.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Щоб дізнатися більше про безпеку продуктів Apple, перейдіть на вебсайт безпеки продуктів Apple.

Інформацію про використання PGP-ключа безпеки продуктів Apple наведено на сторінці «Як використовувати PGP-ключ безпеки продуктів Apple».

Коли це можливо, як посилання на вразливості для отримання додаткової інформації використовуються ідентифікатори CVE.

Щоб дізнатися про інші оновлення системи безпеки, перейдіть на сторінку «Випуски безпеки Apple».

QuickTime 7.3.1

QuickTime

Ідентифікатор CVE: CVE-2007-6166

Доступно для Mac OS X v10.3.9, Mac OS X v10.4.9 або новішої версії, Mac OS X v10.5 або новішої версії, Windows Vista, XP SP2

Вплив: перегляд шкідливого фільму за протоколом RTSP може призвести до несподіваного завершення роботи програми або виконання довільного коду.

Опис: переповнення буфера під час керування заголовками протоколу потокового відтворення в реальному часі (RTSP) у QuickTime. Спонукаючи користувача переглянути шкідливий фільм за протоколом RTSP, зловмисник може викликати несподіване завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему, забезпечуючи, щоб розмір буфера призначення був достатнім для збереження даних.

QuickTime

Ідентифікатор CVE: CVE-2007-4706

Доступно для Mac OS X v10.3.9, Mac OS X v10.4.9 або новішої версії, Mac OS X v10.5 або новішої версії, Windows Vista, XP SP2

Вплив: перегляд шкідливого файлу QTL може призвести до несподіваного завершення роботи програми або виконання довільного коду.

Опис: переповнення буфера на основі купи під час обробки файлів QTL у QuickTime. Спонукаючи користувача переглянути шкідливий файл QTL, зловмисник може викликати несподіване завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему за допомогою покращення перевірки меж.

QuickTime

Ідентифікатор CVE: CVE-2007-4707

Доступно для Mac OS X v10.3.9, Mac OS X v10.4.9 або новішої версії, Mac OS X v10.5 або новішої версії, Windows Vista, XP SP2

Вплив: кілька вразливостей в засобі обробки флеш-файлів QuickTime.

Опис: кілька вразливостей в засобі обробки флеш-файлів QuickTime, найсерйозніші з яких можуть призводити до виконання довільного коду. За допомогою цього оновлення засіб обробки флеш-файлів у QuickTime вимкнено, окрім як для обмеженої кількості наявних фільмів QuickTime, які, як відомо, є безпечними. Дякуємо Тому Феррісу з Adobe Secure Software Engineering Team (ASSET), Майку Прайсу з McAfee Avert Labs, дослідникам у галузі безпеки Ліонелю д’Гененсу та Брайану Маріані із Syseclabs і анонімному досліднику, який співпрацює з TippingPoint's Zero Day Initiative, за повідомлення про цю проблему.