Про вміст, пов’язаний із безпекою QuickTime 7.1.6

У цьому документі описано вміст, пов’язаний із безпекою програми QuickTime 7.1.6, яку можна завантажити й інсталювати за допомогою параметрів програми Оновлення ПЗ або через Завантаження Apple.

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано потрібні виправлення чи нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.

Відомості про ключ PGP безпеки продуктів Apple наведено в статті «Як використовувати ключ PGP безпеки продуктів Apple».

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Про інші оновлення системи безпеки розказано в статті «Випуски безпеки Apple».

Оновлення QuickTime 7.1.6

QuickTime

Ідентифікатор CVE: CVE-2007-2175

Цільові продукти: Mac OS X 10.3.9, Mac OS X 10.4.9, Windows XP SP2, Windows 2000 SP4

Вплив: відвідування шкідливого вебсайту може призводити до виконання довільного коду.

Опис: у QuickTime для Java існує проблема з реалізацією, що може призводити до зчитування чи записування за межами виділеної купи. Спонукаючи користувача відвідати вебсторінку, що містить шкідливу Java-програму, зловмисник може ініціювати проблему, яка може призвести до виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці меж під час створення об’єктів QTPointerRef. Подяка за повідомлення про цю проблему: Dino Dai Zovi, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative.