Відомості про проблеми системи безпеки, які усунено в оновленні QuickTime 7.5.5
У цьому документі описано проблеми системи безпеки, які усунено в оновленні QuickTime 7.5.5, що можна завантажити й інсталювати за допомогою функції Оновлення ПЗ або на сторінці матеріалів для завантаження Apple.
Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.
Відомості про ключ PGP безпеки продуктів Apple наведено в статті Як використовувати ключ PGP безпеки продуктів Apple.
Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.
Відомості про інші оновлення системи безпеки наведено в статті Випуски безпеки Apple.
QuickTime 7.5.5
QuickTime
Ідентифікатор CVE: CVE-2008-3615
Цільові продукти: Windows Vista, XP SP2 й SP3
Вплив: перегляд шкідливого відеофайлу може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: у кодеці від стороннього розробника Indeo 5 для QuickTime, що не постачається з QuickTime, виникає проблема доступу до неініціалізованої пам’яті. Перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему, забороняючи відображення матеріалів, закодованих будь-якою версією кодека Indeo. Ця проблема не впливає на системи, які працюють на версії до Mac OS X. Дякуємо користувачу Paul Byrne із NGSSoftware за повідомлення про цю проблему.
QuickTime
Ідентифікатор CVE: CVE-2008-3635
Цільові продукти: Windows Vista, XP SP2 й SP3
Вплив: перегляд шкідливого відеофайлу може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: у кодеці стороннього розробника Indeo 3.2 для QuickTime виникає переповнення буфера стека. Перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему, забороняючи відображення матеріалів, закодованих будь-якою версією кодека Indeo. Ця проблема не впливає на системи, які працюють на версії до Mac OS X. Дякуємо анонімному досліднику, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.
QuickTime
Ідентифікатор CVE: CVE-2008-3624
Цільові продукти: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 або пізніших версій, Windows Vista, XP SP2 й SP3
Вплив: перегляд шкідливого відеофайлу QTVR може призвести до несподіваного завершення роботи програми або виконання довільного коду.
Опис: під час обробки атомів панорами у відеофайлах QTVR (QuickTime Virtual Reality, віртуальна реальність QuickTime) у програмі QuickTime виникає проблема переповнення буфера купи. Перегляд шкідливого файлу QTVR може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему завдяки вдосконаленню перевірки меж атомів панорами. Дякуємо Roee Hay з IBM Rational Application Security Research Group за повідомлення про цю проблему.
QuickTime
Ідентифікатор CVE: CVE-2008-3625
Цільові продукти: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 або пізніших версій, Windows Vista, XP SP2 й SP3
Вплив: перегляд шкідливого відеофайлу QTVR може призвести до несподіваного завершення роботи програми або виконання довільного коду.
Опис: під час обробки атомів панорами у відеофайлах QTVR (QuickTime Virtual Reality, віртуальна реальність QuickTime) у програмі QuickTime виникає переповнення буфера стека. Перегляд шкідливого файлу QTVR може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему завдяки вдосконаленню перевірки меж атомів панорами. Дякуємо анонімному досліднику, який співпрацює з TippingPoint’s Zero Day Initiative, за повідомлення про цю проблему.
QuickTime
Ідентифікатор CVE: CVE-2008-3614
Цільові продукти: Windows Vista, XP SP2 й SP3
Вплив: відкриття шкідливого зображення PICT може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: під час обробки зображень PICT програмою QuickTime виникає цілочисельне переповнення. Відкриття шкідливого зображення формату PICT може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці зображень PICT. Дякуємо анонімному досліднику, що співпрацює з iDefense VCP, за повідомлення про цю проблему.
QuickTime
Ідентифікатор CVE: CVE-2008-3626
Цільові продукти: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 або пізніших версій, Windows Vista, XP SP2 й SP3
Вплив: перегляд шкідливого відеофайлу може призвести до несподіваного завершення роботи програми або виконання довільного коду.
Опис: під час обробки атомів STSZ відеофайлів у програмі QuickTime спостерігається пошкодження даних у пам’яті. Перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему завдяки вдосконаленню перевірки меж атомів STSZ. Дякуємо анонімному досліднику, який співпрацює з TippingPoint’s Zero Day Initiative, за повідомлення про цю проблему.
QuickTime
Ідентифікатор CVE: CVE-2008-3627
Цільові продукти: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 або пізніших версій, Windows Vista, XP SP2 й SP3
Вплив: перегляд шкідливого відеофайлу може призвести до несподіваного завершення роботи програми або виконання довільного коду.
Опис: під час обробки відеофайлів із кодуванням H.264 в програмі QuickTime виникають кілька пошкоджень даних у пам’яті. Перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему, виконуючи додаткову перевірку відеофайлів із кодуванням H.264. Дякуємо анонімному досліднику та компанії Subreption LLC, які співпрацюють із компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.
QuickTime
Ідентифікатор CVE: CVE-2008-3628
Цільові продукти: Windows Vista, XP SP2 й SP3
Вплив: відкриття шкідливого зображення PICT може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: під час обробки зображень PICT програмою QuickTime виникає проблема неправильного вказівника. Відкриття шкідливого зображення формату PICT може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему завдяки правильному збереженню та відновленню глобальної змінної. Ця проблема не впливає на системи, які працюють на версії до Mac OS X. Дякуємо користувачу David Wharton за повідомлення про цю проблему.
QuickTime
Ідентифікатор CVE: CVE-2008-3629
Цільові продукти: Mac OS X 10.4.9–10.4.11, Mac OS X 10.5 або пізніших версій, Windows Vista, XP SP2 й SP3
Вплив: відкриття шкідливого зображення PICT може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: під час обробки зображень PICT програмою QuickTime виникає проблема читання даних за припустимими межами. Відкриття шкідливого зображення PICT може призвести до несподіваного завершення роботи програми. Це оновлення вирішує проблему завдяки додатковій перевірці зображень PICT. Дякуємо Серджио «shadown» Альварезу з n.runs AG за повідомлення про цю проблему.
Важливо. Відомості про продукти, які не виготовлено компанією Apple, надаються лише в інформаційних цілях і не є рекомендацією чи заявою про підтримку компанією Apple. За додатковою інформацією зверніться до постачальника.