Відомості про проблеми системи безпеки, які усунено в оновленні QuickTime 7.5

У цьому документі описано проблеми системи безпеки, які усунено в оновленні QuickTime 7.5, яке можна завантажити та інсталювати за допомогою функції «Оновлення ПЗ» або на сторінці матеріалів для завантаження Apple.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Щоб дізнатися більше про безпеку продуктів Apple, перейдіть на вебсайт безпеки продуктів Apple.

Інформацію про використання PGP-ключа безпеки продуктів Apple наведено на сторінці «Як використовувати PGP-ключ безпеки продуктів Apple».

Коли це можливо, як посилання на вразливості для отримання додаткової інформації використовуються ідентифікатори CVE.

Щоб дізнатися про інші оновлення системи безпеки, перейдіть на сторінку «Випуски безпеки Apple».

QuickTime 7.5

QuickTime

Ідентифікатор CVE: CVE-2008-1581

Доступно для Windows Vista, XP SP2

Вплив: відкриття шкідливого файлу зображення формату PICT може призвести до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблема в роботі QuickTime зі структурами PixData під час обробки зображення PICT може призвести до переповнення буфера на основі купи. Відкриття шкідливого зображення формату PICT може призвести до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему за допомогою покращення перевірки меж. Ця проблема не впливає на системи, які працюють на версії до Mac OS X. Дякуємо Діону Болдінгу із Secunia Research за повідомлення про цю проблему.

QuickTime

Ідентифікатор CVE: CVE-2008-1582

Доступно для Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 або новішої версії, Windows Vista, XP SP2

Вплив: відкриття шкідливого медіаконтенту у форматі AAC може призвести до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблема з пошкодженням пам’яті під час обробки медіаконтенту у форматі AAC. Відкриття шкідливого медіафайлу може призвести до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему, виконуючи додаткову перевірку медіафайлів. Дякуємо Дейву Солдеру з NGS Software і Дженсу Альфке за повідомлення про цю проблему.

QuickTime

Ідентифікатор CVE: CVE-2008-1583

Доступно для Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 або новішої версії, Windows Vista, XP SP2

Вплив: відкриття шкідливого файлу зображення формату PICT може призвести до несподіваного завершення роботи програми або виконання довільного коду.

Опис: переповнення буфера на основі купи під час обробки зображень формату PICT у QuickTime. Відкриття шкідливого файлу зображення формату PICT може призвести до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему за допомогою покращення перевірки меж. Дякуємо Ліаму О. Мурчу із Symantec за повідомлення про цю проблему.

QuickTime

Ідентифікатор CVE: CVE-2008-1584

Доступно для Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 або новішої версії, Windows Vista, XP SP2

Вплив: перегляд шкідливого відеоконтенту Indeo 4 може призвести до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблема під час обробки контенту відеокодека Indeo в QuickTime може призвести до переповнення буфера на основі стека. Перегляд шкідливого файлу фільму з контентом відеокодека Indeo може призвести до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему, не відтворюючи контент відеокодека Indeo 4. Дякуємо анонімному досліднику, який співпрацює з TippingPoint's Zero Day Initiative, за повідомлення про цю проблему.

QuickTime

Ідентифікатор CVE: CVE-2008-1585

Доступно для Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 або новішої версії, Windows Vista, XP SP2

Вплив: відтворення шкідливого контенту QuickTime у QuickTime Player може призвести до довільного виконання коду.

Опис: проблема обробки URL-адрес під час обробки файлу в QuickTime: URL-адреси. Через це можуть запускатися довільні програми й файли, коли користувач відтворює шкідливий контент QuickTime у QuickTime Player. Це оновлення усуває проблему, виявляючи файли в програмі Finder або Провіднику Windows, а не запускаючи їх. Дякуємо Віно Томасу та Рахулу Мохандасу з McAfee Avert Labs і Петко Д. (pdp) Петкову з GNUCITIZEN, який співпрацює з TippingPoint’s Zero Day Initiative, за повідомлення про цю проблему.

QuickTime

Ідентифікатор CVE: CVE-2008-2319

Доступно для Mac OS X v10.3.9, Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 або новішої версії, Windows Vista, XP SP2

Вплив: відкриття шкідливого файлу зображення формату PICT може призвести до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблема зі знаковим розширенням під час обробки зображень формату PICT у QuickTime може призвести до переповнення буфера на основі купи. Відкриття шкідливого файлу зображення формату PICT може призвести до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему, розглядаючи значення як беззнакове. Дякуємо Серджио «shadown» Альварезу з n.runs AG за повідомлення про цю проблему.