Відомості про проблеми системи безпеки, які усунено в оновленні QuickTime 7.6

У цьому документі описано проблеми системи безпеки, які усунено в оновленні QuickTime 7.6, яке можна завантажити та інсталювати за допомогою функції «Оновлення ПЗ» або на сторінці матеріалів для завантаження Apple.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.

Інформацію про використання PGP-ключа безпеки продуктів Apple наведено на сторінці «Як використовувати PGP-ключ безпеки продуктів Apple».

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Про інші оновлення системи безпеки розказано в статті «Випуски безпеки Apple».

QuickTime 7.6

• QuickTime

  Ідентифікатор CVE: CVE-2009-0001

  Цільові продукти: Mac OS X версій із 10.4.9 до 10.4.11, Mac OS X 10.5 або пізніших версій, Windows Vista, XP SP2 та SP3

  Вплив: доступ до шкідливої URL-адреси RTSP може призвести до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки URL-адрес RTSP у програмі QuickTime виникає проблема переповнення буфера купи. Доступ до шкідливої URL-адреси RTSP може призвести до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці URL-адрес RTSP. Дякуємо Аттілі Сустер (Attila Suszter) за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE: CVE-2009-0002

  Цільові продукти: Mac OS X версій із 10.4.9 до 10.4.11, Mac OS X 10.5 або пізніших версій, Windows Vista, XP SP2 та SP3

  Вплив: перегляд шкідливого відеофайлу QTVR може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки об’єктно орієнтованих структур THKD у відеофайлах QTVR (QuickTime Virtual Reality) у програмі QuickTime виникає проблема переповнення буфера купи. Перегляд шкідливого файлу QTVR може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Дякуємо анонімному досліднику, який співпрацює з TippingPoint’s Zero Day Initiative, за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE: CVE-2009-0003

  Цільові продукти: Mac OS X версій із 10.4.9 до 10.4.11, Mac OS X 10.5 або пізніших версій, Windows Vista, XP SP2

  Вплив: перегляд шкідливого відеофайлу AVI може призвести до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки відеофайлу AVI може виникати проблема переповнення буфера купи. Відкриття шкідливого відеофайлу AVI може призвести до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Дякуємо анонімному досліднику, який співпрацює з TippingPoint’s Zero Day Initiative, за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE: CVE-2009-0004

  Цільові продукти: Mac OS X версій із 10.4.9 до 10.4.11, Mac OS X 10.5 або пізніших версій, Windows Vista, XP SP2 та SP3

  Вплив: перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки відеофайлів MPEG-2 з аудіовмістом MP3 виникає проблема переповнення буфера купи. Перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Дякуємо Чеду Догерті (Chad Dougherty) із CERT Coordination Center за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE: CVE-2009-0005

  Цільові продукти: Mac OS X версій із 10.4.9 до 10.4.11, Mac OS X 10.5 або пізніших версій, Windows Vista, XP SP2 та SP3

  Вплив: перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки відеофайлів із кодуванням H.263 у програмі QuickTime спостерігається пошкодження даних у пам’яті. Перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему, виконуючи додаткову перевірку відеофайлів із кодуванням H.263. Дякуємо Дейву Солдеру (Dave Soldera) з NGS Software за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE: CVE-2009-0006

  Цільові продукти: Mac OS X версій із 10.4.9 до 10.4.11, Mac OS X 10.5 або пізніших версій, Windows Vista, XP SP2 та SP3

  Вплив: перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки відеофайлів із кодуванням Cinepak у програмі QuickTime виникає проблема підпису, що може призвести до переповнення буфера купи. Перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему, виконуючи додаткову перевірку файлів фільму. Дякуємо анонімному досліднику, який співпрацює з TippingPoint’s Zero Day Initiative, за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE: CVE-2009-0007

  Цільові продукти: Mac OS X версій із 10.4.9 до 10.4.11, Mac OS X 10.5 або пізніших версій, Windows Vista, XP SP2 та SP3

  Вплив: перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки об’єктно орієнтованих структур jpeg у відеофайлах QuickTime у програмі QuickTime виникає проблема переповнення буфера купи. Перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Подяка за повідомлення про цю проблему анонімному досліднику, який співпрацює з TippingPoint Zero Day Initiative.