Проблеми системи безпеки, які усунено в оновленні QuickTime 7.3

У цьому документі описано проблеми системи безпеки, які усунено в оновленні QuickTime 7.3. Його можна завантажити та інсталювати через параметри Оновлення ПЗ або з сайту завантаження Apple.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте веб‑сайт, присвячений безпеці продуктів Apple.

Отримати інформацію про ключ PGP безпеки продуктів Apple можна у статті Як використовувати ключ PGP безпеки продуктів Apple.

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Про інші оновлення системи безпеки розказано у статті «Оновлення системи безпеки Apple».

QuickTime 7.3

QuickTime

Ідентифікатор CVE: CVE-2007-2395

Цільові продукти: Mac OS X 10.3.9, Mac OS X 10.4.9 або новішої версії, Mac OS X 10.5, Windows Vista, XP SP2

Вплив: перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: під час обробки об'єктно орієнтованої структури опису зображення програвачем QuickTime виникає проблема з пошкодженням пам’яті. Спонукаючи користувача відкрити шкідливий відеофайл, зловмисник може спричинити несподіване завершення роботи програми або довільне виконання коду. Це оновлення вирішує проблему завдяки додатковій перевірці описів зображень QuickTime. Подяка за повідомлення про цю проблему: Dylan Ashe із Adobe Systems Incorporated.

QuickTime

Ідентифікатор CVE: CVE-2007-3750

Цільові продукти: Mac OS X 10.3.9, Mac OS X 10.4.9 або новішої версії, Mac OS X 10.5, Windows Vista, XP SP2

Вплив: перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: під час обробки об'єктно орієнтованої структури зразка дескриптора таблиці вибірки (STSD) програвачем QuickTime Player відбувається переповнення буфера купи. Спонукаючи користувача відкрити шкідливий відеофайл, зловмисник може спричинити несподіване завершення роботи програми або довільне виконання коду. Це оновлення вирішує проблему завдяки додатковій перевірці об'єктно орієнтованої структури зразка дескриптора таблиці вибірки (STSD). Подяка за повідомлення про цю проблему: Tobias Klein із www.trapkit.de.

QuickTime

Ідентифікатор CVE: CVE-2007-3751

Цільові продукти: Mac OS X 10.3.9, Mac OS X 10.4.9 або новішої версії, Mac OS X 10.5, Windows Vista, XP SP2

Вплив: ненадійні JAVA-програми можуть отримувати підвищений рівень привілеїв.

Опис: у QuickTime для Java існує кілька вразливих місць, які можуть дозволити ненадійним JAVA-програмам отримувати підвищений рівень привілеїв. Спонукаючи користувача відвідати веб-сторінку, яка містить шкідливу JAVA-програму, зловмисник може спричинити розголошення конфіденційної інформації та виконання довільного коду з підвищеним рівнем привілеїв. Дане оновлення усуває ці проблеми, роблячи доступ ненадійних JAVA-програм до QuickTime для Java неможливим. Подяка за повідомлення про цю проблему: Adam Gowdiak.

QuickTime

Ідентифікатор CVE: CVE-2007-4672

Цільові продукти: Mac OS X 10.3.9, Mac OS X 10.4.9 або новішої версії, Mac OS X 10.5, Windows Vista, XP SP2

Вплив: відкриття шкідливого зображення PICT може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: при обробці зображень PICT виникає переповнення буфера стека. Спонукаючи користувача відкрити шкідливе зображення, зловмисник може спричинити несподіване завершення роботи програми або довільне виконання коду. Це оновлення вирішує проблему завдяки додатковій перевірці файлів PICT. Подяка за повідомлення про цю проблему: Ruben Santamarta з організації reversemode.com, яка працює з TippingPoint та ініціативою Zero Day Initiative.

QuickTime

Ідентифікатор CVE: CVE-2007-4676

Цільові продукти: Mac OS X 10.3.9, Mac OS X 10.4.9 або новішої версії, Mac OS X 10.5, Windows Vista, XP SP2

Вплив: відкриття шкідливого зображення PICT може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: при обробці зображень PICT виникає переповнення буфера купи. Спонукаючи користувача відкрити шкідливе зображення, зловмисник може спричинити несподіване завершення роботи програми або довільне виконання коду. Це оновлення вирішує проблему завдяки додатковій перевірці файлів PICT. Подяка за повідомлення про цю проблему: Ruben Santamarta з організації reversemode.com, яка працює з TippingPoint та ініціативою Zero Day Initiative.

QuickTime

Ідентифікатор CVE: CVE-2007-4675

Цільові продукти: Mac OS X 10.3.9, Mac OS X 10.4.9 або новішої версії, Mac OS X 10.5, Windows Vista, XP SP2

Вплив: перегляд шкідливого відеофайлу QTVR може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: при обробці програвачем QuickTime Player об'єктно орієнтованої структури зразків панорами у файлах фільмів QTVR (QuickTime Virtual Reality) виникає переповнення буфера купи. Спонукаючи користувача переглядати шкідливий файл QTVR, зловмисник може спричинити несподіване завершення роботи програми або довільне виконання коду. Це оновлення вирішує проблему завдяки додатковій перевірці меж об'єктно орієнтованої структури зразків панорами. Подяка за повідомлення про цю проблему: Mario Ballano з організації 48bits.com, яка працює з VeriSign iDefense VCP.

QuickTime

Ідентифікатор CVE: CVE-2007-4677

Цільові продукти: Mac OS X 10.3.9, Mac OS X 10.4.9 або новішої версії, Mac OS X 10.5, Windows Vista, XP SP2

Вплив: перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: при аналізі об'єктно орієнтованої структури таблиці кольорів під час відкриття файлу фільму виникає переповнення буфера купи. Спонукаючи користувача відкрити шкідливий відеофайл, зловмисник може спричинити несподіване завершення роботи програми або довільне виконання коду. Це оновлення вирішує дану проблему завдяки додатковій перевірці об'єктно орієнтованої структури таблиці кольорів. Подяка за повідомлення про цю проблему: Ruben Santamarta з reversemode.com та Mario Ballano з організації 48bits.com, які працюють з TippingPoint та ініціативою Zero Day Initiative.

QuickTime

Ідентифікатор CVE: CVE-2007-4674

Цільові продукти: Mac OS X 10.3.9, Mac OS X 10.4.9 або новішої версії, Mac OS X 10.5, Windows Vista, XP SP2

Вплив: перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблема з арифметикою цілих чисел при обробці програвачем QuickTime певної об'єктно орієнтованої структури відеофайлу може призвести до переповнення буфера стека. Спонукаючи користувача відкрити шкідливий відеофайл, зловмисник може спричинити несподіване завершення роботи програми або довільне виконання коду. Це оновлення вирішує дану проблему завдяки поліпшенню обробки полів довжини об'єктно орієнтованої структури у файлах фільмів. Подяка за повідомлення про цю проблему: Cody Pierce з TippingPoint DVLabs.