Про вміст, пов’язаний із безпекою QuickTime 7.1.5
У цьому документі наведено вміст, пов’язаний із безпекою QuickTime 7.1.5.
У цьому документі наведено вміст, пов’язаний із безпекою програми QuickTime 7.1.5, яку можна завантажити й інсталювати за допомогою параметрів програми Оновлення ПЗ або тут.
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано потрібні виправлення чи нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.
Відомості про ключ PGP від Apple Product Security наведено в статті «Як використовувати ключ PGP безпеки продуктів Apple».
Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.
Про інші оновлення системи безпеки розказано в статті «Випуски безпеки Apple».
Оновлення QuickTime 7.1.5
QuickTime
Ідентифікатор CVE: CVE-2007-0711
Цільові продукти: Windows Vista/XP/2000
Вплив: перегляд шкідливого файлу 3GP може призвести до аварійного завершення роботи програми або виконання довільного коду.
Опис: під час обробки відеофайлів 3GP у QuickTime існує цілочисельне переповнення. Спонукаючи користувача відкрити шкідливий фільм, зловмисник може ініціювати переповнення, що може призвести до аварійного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці відеофайлів 3GP. Ця проблема не стосується Mac OS X. Подяка за повідомлення про цю проблему: JJ Reyes.
QuickTime
Ідентифікатор CVE: CVE-2007-0712
Цільові продукти: Mac OS X 10.3.9 і пізніших версій, Windows Vista/XP/2000
Вплив: перегляд шкідливого MIDI-файлу може призвести до аварійного завершення роботи програми або виконання довільного коду.
Опис: під час обробки MIDI-файлів у програмі QuickTime виникає проблема переповнення буфера купи. Спонукаючи користувача відкрити шкідливий MIDI-файл, зловмисник може ініціювати переповнення, що може призвести до аварійного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці MIDI-файлів. Подяка за повідомлення про цю проблему: Mike Price із компанії McAfee AVERT Labs.
QuickTime
Ідентифікатор CVE: CVE-2007-0713
Цільові продукти: Mac OS X 10.3.9 і пізніших версій, Windows Vista/XP/2000
Вплив: перегляд шкідливого відеофайлу QuickTime може призвести до аварійного завершення роботи програми або виконання довільного коду.
Опис: під час обробки відеофайлів QuickTime у програмі QuickTime виникає проблема переповнення буфера купи. Спонукаючи користувача отримати доступ до шкідливого фільму, зловмисник може ініціювати переповнення, що може призвести до аварійного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці фільмів QuickTime. Подяка за повідомлення про цю проблему: Mike Price із компанії McAfee AVERT Labs, Piotr Bania й Artur Ogloza.
QuickTime
Ідентифікатор CVE: CVE-2007-0714
Цільові продукти: Mac OS X 10.3.9 і пізніших версій, Windows Vista/XP/2000
Вплив: перегляд шкідливого відеофайлу QuickTime може призвести до аварійного завершення роботи програми або виконання довільного коду.
Опис: під час обробки об'єктно орієнтованих структур UDTA у відеофайлах у QuickTime існує цілочисельне переповнення. Спонукаючи користувача отримати доступ до шкідливого фільму, зловмисник може ініціювати переповнення, що може призвести до аварійного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці фільмів QuickTime. Подяка за повідомлення про цю проблему: Sowhat із Nevis Labs і анонімний дослідник, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative.
QuickTime
Ідентифікатор CVE: CVE-2007-0715
Цільові продукти: Mac OS X 10.3.9 і пізніших версій, Windows Vista/XP/2000
Вплив: перегляд шкідливого PICT-файлу може призвести до аварійного завершення роботи програми або виконання довільного коду.
Опис: під час обробки PICT-файлів у програмі QuickTime виникає проблема переповнення буфера купи. Спонукаючи користувача відкрити шкідливий файл зображення PICT, зловмисник може ініціювати переповнення, що може призвести до виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці PICT-файлів. Подяка за повідомлення про цю проблему: Mike Price із компанії McAfee AVERT Labs.
QuickTime
Ідентифікатор CVE: CVE-2007-0716
Цільові продукти: Mac OS X 10.3.9 і пізніших версій, Windows Vista/XP/2000
Вплив: відкриття шкідливого QTIF-файлу може призвести до аварійного завершення роботи програми або виконання довільного коду.
Опис: під час обробки QTIF-файлів у програмі QuickTime виникає проблема переповнення буфера стека. Спонукаючи користувача отримати доступ до шкідливого QTIF-файлу, зловмисник може ініціювати переповнення, що може призвести до аварійного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці QTIF-файлів. Подяка за повідомлення про цю проблему: Mike Price із компанії McAfee AVERT Labs.
QuickTime
Ідентифікатор CVE: CVE-2007-0717
Цільові продукти: Mac OS X 10.3.9 і пізніших версій, Windows Vista/XP/2000
Вплив: відкриття шкідливого QTIF-файлу може призвести до аварійного завершення роботи програми або виконання довільного коду.
Опис: під час обробки QTIF-файлів у QuickTime існує цілочисельне переповнення. Спонукаючи користувача отримати доступ до шкідливого QTIF-файлу, зловмисник може ініціювати переповнення, що може призвести до аварійного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці QTIF-файлів. Подяка за повідомлення про цю проблему: Mike Price із компанії McAfee AVERT Labs.
QuickTime
Ідентифікатор CVE: CVE-2007-0718
Цільові продукти: Mac OS X 10.3.9 і пізніших версій, Windows Vista/XP/2000
Вплив: відкриття шкідливого QTIF-файлу може призвести до аварійного завершення роботи програми або виконання довільного коду.
Опис: під час обробки QTIF-файлів у програмі QuickTime виникає проблема переповнення буфера купи. Спонукаючи користувача отримати доступ до шкідливого QTIF-файлу, зловмисник може ініціювати переповнення, що може призвести до аварійного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці QTIF-файлів. Подяка за повідомлення про цю проблему: Ruben Santamarta, який співпрацює з програмою iDefense Vulnerability Contributor Program, і JJ Reyes.
QuickTime
Ідентифікатор CVE: CVE-2006-4965, CVE-2007-0059
Цільові продукти: Mac OS X 10.3.9 і пізніших версій, Windows Vista/XP/2000
Вплив: перегляд шкідливого файлу фільму QuickTime або QTL-файлу може призвести до виконання довільного коду JavaScript у контексті локального домену.
Опис: у плагіні браузера QuickTime існує проблема міжзональних скриптів. Спонукаючи користувача відкрити шкідливий файл фільму QuickTime або QTL-файл, зловмисник може ініціювати проблему, яка може призвести до виконання довільного коду JavaScript у контексті локального домену. Ця проблема описана на вебсайті Month of Apple Bugs (MOAB-03-01-2007). Це оновлення вирішує проблему завдяки внесенню наведених нижче змін в обробку URL-адрес в атрибуті qtnext QTL-файлів і HREFTracks у фільмах QuickTime. Дозволено лише URL-адреси «http:» та «https:», якщо фільм завантажено з віддаленого сайту. Дозволено використовувати лише URL-адреси «file:», якщо фільм завантажено локально.
QuickTime 7.1.5 для Mac або Windows можна отримати за допомогою програми «Оновлення ПЗ» або завантажити вручну за такою адресою: http://www.apple.com/ua/quicktime/download/.