Відомості про проблеми системи безпеки, які усунено в оновленні QuickTime 7.6.2

У цьому документі описано проблеми системи безпеки, які усунено в оновленні QuickTime 7.6.2.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.

Інформацію про використання PGP-ключа безпеки продуктів Apple наведено на сторінці «Як використовувати PGP-ключ безпеки продуктів Apple».

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Про інші оновлення системи безпеки розказано в статті «Випуски безпеки Apple».

QuickTime 7.6.2

• QuickTime

  Ідентифікатор CVE-ID: CVE-2009-0188

  Цільові продукти: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista й XP SP3

  Вплив: відкриття шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки відеофайлів із кодуванням Sorenson 3 у QuickTime виникає проблема з пошкодженням пам’яті. Може призвести до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему, виконуючи додаткову перевірку файлів фільму Sorenson 3. Дякуємо Carsten Eiram із Secunia Research за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE-ID: CVE-2009-0951

  Цільові продукти: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista й XP SP3

  Вплив: відкриття шкідливого відеофайлу з компресією FLC може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки файлів із компресією FLC виникає переповнення буфера динамічної пам’яті. Відкриття шкідливого файлу з компресією FLC може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Дякуємо анонімному досліднику, який співпрацює з TippingPoint’s Zero Day Initiative, за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE-ID: CVE-2009-0952

  Цільові продукти: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista й XP SP3

  Вплив: перегляд шкідливого зображення PSD може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки стисненого зображення PSD може виникати переповнення буфера. Відкриття шкідливого стисненого файлу PSD може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Дякуємо Деміану Путу (Damian Put), який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE-ID: CVE-2009-0010

  Цільові продукти: Windows Vista й XP SP3

  Вплив: відкриття шкідливого зображення PICT може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: цілочисельне антипереповнення під час обробки зображень PICT у QuickTime може призводити до переповнення буфера динамічної пам’яті. Відкриття шкідливого файлу PICT може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці зображень PICT. Дякуємо Sebastian Apelt, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, і Chris Ries із факультету обчислювальних послуг Університету Карнегі-Меллона за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE-ID: CVE-2009-0953

  Цільові продукти: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista й XP SP3

  Вплив: відкриття шкідливого зображення PICT може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки зображень PICT у QuickTime виникає переповнення буфера динамічної пам’яті. Відкриття шкідливого файлу PICT може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці зображень PICT. Дякуємо Sebastian Apelt, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE-ID: CVE-2009-0954

  Цільові продукти: Windows Vista й XP SP3

  Вплив: відкриття шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки типів атомів області обрізання (CRGN) у відеофайлі у QuickTime виникає переповнення буфера динамічної пам’яті. Відкриття шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Ця проблема не виникає в Mac OS X. Дякуємо анонімному досліднику, який співпрацює з TippingPoint’s Zero Day Initiative, за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE-ID: CVE-2009-0185

  Цільові продукти: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista й XP SP3

  Вплив: перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки аудіоданих із кодуванням MS ADPCM виникає переповнення буфера динамічної пам’яті. Перегляд шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Подяка за повідомлення про цю проблему: Alin Rad Pop із Secunia Research.

• QuickTime

  Ідентифікатор CVE-ID: CVE-2009-0955

  Цільові продукти: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista й XP SP3

  Вплив: відкриття шкідливого відеофайлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки атомів опису зображення у QuickTime виникає проблема зі знаковим розширенням. Відкриття шкідливого відеофайлу Apple може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему завдяки покращенню перевірки атомів опису. Дякуємо Roee Hay з IBM Rational Application Security Research Group за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE-ID: CVE-2009-0956

  Цільові продукти: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista й XP SP3

  Вплив: перегляд відеофайлу зі шкідливим атомом даних користувача може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки відеофайлів у QuickTime виникає проблема неініціалізованого доступу до пам’яті. Перегляд відеофайлу з нульовим розміром атома даних користувача може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему завдяки виконанню додаткової перевірки відеофайлів і відображення діалогового вікна з попередженням для користувача. Дякуємо Lurene Grenier із Sourcefire, Inc. (VRT) за повідомлення про цю проблему.

• QuickTime

  Ідентифікатор CVE-ID: CVE-2009-0957

  Цільові продукти: Mac OS X 10.4.11, Mac OS X 10.5.7, Windows Vista й XP SP3

  Вплив: перегляд шкідливого зображення JP2 може призводити до несподіваного завершення роботи програми або виконання довільного коду.

  Опис: під час обробки зображень JP2 у QuickTime виникає переповнення буфера динамічної пам’яті. Перегляд шкідливого зображення JP2 може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Дякуємо Charlie Miller з Independent Security Evaluators і Damian Put, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.