Giới thiệu về nội dung bảo mật của QuickTime 7.5.5

Tài liệu này mô tả nội dung bảo mật của QuickTime 7.5.5. Bạn có thể tải bản cập nhật này về và cài đặt thông qua tùy chọn Cập nhật phần mềm hoặc từ Nội dung tải về của Apple.

Nhằm bảo vệ khách hàng, Apple không tiết lộ, thảo luận hay xác nhận các vấn đề về bảo mật chừng nào chưa điều tra triệt để cũng như chưa có các bản vá hoặc bản phát hành cần thiết. Để tìm hiểu thêm về việc Bảo mật sản phẩm Apple, hãy truy cập trang web Bảo mật sản phẩm Apple.

Để tìm hiểu thông tin về Khóa PGP Bảo mật sản phẩm Apple, hãy xem bài viết "Cách sử dụng Khóa PGP Bảo mật sản phẩm Apple".

Nếu có thể, hãy tham chiếu các lỗ hổng bảo mật theo Mã số định danh lỗ hổng bảo mật (Common Vulnerabilities and Exposures ID, CVE-ID) để biết thêm thông tin.

Để tìm hiểu về các Bản cập nhật bảo mật khác, hãy xem bài viết "Bản cập nhật bảo mật của Apple".

QuickTime 7.5.5

• QuickTime

  CVE-ID: CVE-2008-3615

  Phạm vi áp dụng: Windows Vista, XP SP2 và SP3

  Tác động: Hành động xem tệp phim được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc dừng ứng dụng đột ngột

  Mô tả: Sự cố truy cập bộ nhớ chưa được khởi tạo xảy ra trong codec Indeo v5 của bên thứ ba cho QuickTime, không đi kèm với QuickTime. Hành động xem một tệp phim được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố bằng cách không hiển thị nội dung được mã hóa với bất kỳ phiên bản codec Indeo nào. Sự cố này không ảnh hưởng đến các hệ thống chạy Mac OS X. Cảm ơn Paul Byrne tại NGSSoftware vì đã báo cáo sự cố này.

• QuickTime

  CVE-ID: CVE-2008-3635

  Phạm vi áp dụng: Windows Vista, XP SP2 và SP3

  Tác động: Hành động xem tệp phim được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc dừng ứng dụng đột ngột

  Mô tả: Sự cố tràn bộ đệm ngăn xếp xảy ra trong codec Indeo v3.2 của bên thứ ba cho QuickTime. Hành động xem một tệp phim được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố bằng cách không hiển thị nội dung được mã hóa với bất kỳ phiên bản codec Indeo nào. Sự cố này không ảnh hưởng đến các hệ thống chạy Mac OS X. Cảm ơn nhà nghiên cứu ẩn danh hợp tác với Zero Day Initiative của TippingPoint vì đã báo cáo sự cố này.

• QuickTime

  CVE-ID: CVE-2008-3624

  Phạm vi áp dụng: Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 trở về sau, Windows Vista, XP SP2 và SP3

  Tác động: Hoạt động xem tệp phim QTVR được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc dừng ứng dụng đột ngột

  Mô tả: Sự cố tràn bộ đệm khối xếp xảy ra trong quá trình QuickTime xử lý các nguyên tử toàn cảnh trong các tệp phim QTVR (Thực tế ảo QuickTime). Hành động xem một tệp QTVR được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố thông qua việc cải thiện quy trình kiểm tra giới hạn của các nguyên tử toàn cảnh. Cảm ơn Roee Hay thuộc IBM Rational Application Security Research Group đã báo cáo vấn đề này.

• QuickTime

  CVE-ID: CVE-2008-3625

  Phạm vi áp dụng: Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 trở về sau, Windows Vista, XP SP2 và SP3

  Tác động: Hoạt động xem tệp phim QTVR được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc dừng ứng dụng đột ngột

  Mô tả: Sự cố tràn bộ đệm ngăn xếp xảy ra trong quá trình QuickTime xử lý các nguyên tử toàn cảnh trong các tệp phim QTVR (Thực tế ảo QuickTime). Hành động xem một tệp QTVR được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố thông qua việc cải thiện quy trình kiểm tra giới hạn của các nguyên tử toàn cảnh. Xin ghi nhận công lao của một nhà nghiên cứu ẩn danh hợp tác với Zero Day Initiative của TippingPoint vì đã báo cáo sự cố này.

• QuickTime

  CVE-ID: CVE-2008-3614

  Phạm vi áp dụng: Windows Vista, XP SP2 và SP3

  Tác động: Hành động mở hình ảnh PICT được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc dừng ứng dụng đột ngột

  Mô tả: Sự cố tràn số nguyên xảy ra trong quá trình QuickTime xử lý hình ảnh PICT. Hành động mở một hình ảnh PICT được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố bằng cách thực hiện xác thực bổ sung đối với hình ảnh PICT. Cảm ơn nhà nghiên cứu ẩn danh hợp tác với iDefense VCP vì đã báo cáo sự cố này.

• QuickTime

  CVE-ID: CVE-2008-3626

  Phạm vi áp dụng: Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 trở về sau, Windows Vista, XP SP2 và SP3

  Tác động: Hành động xem tệp phim được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc dừng ứng dụng đột ngột

  Mô tả: Sự cố hỏng bộ nhớ xảy ra trong quá trình QuickTime xử lý các nguyên tử STSZ trong tệp phim. Hành động xem một tệp phim được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố thông qua việc cải thiện quy trình kiểm tra giới hạn của các nguyên tử STSZ. Xin ghi nhận công lao của một nhà nghiên cứu ẩn danh hợp tác với Zero Day Initiative của TippingPoint vì đã báo cáo sự cố này.

• QuickTime

  CVE-ID: CVE-2008-3627

  Phạm vi áp dụng: Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 trở về sau, Windows Vista, XP SP2 và SP3

  Tác động: Hành động xem tệp phim được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc dừng ứng dụng đột ngột

  Mô tả: Nhiều sự cố hỏng bộ nhớ xảy ra trong quá trình QuickTime xử lý các tệp phim được mã hóa H.264. Hành động xem một tệp phim được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố bằng cách tiến hành xác thực bổ sung đối với các tệp phim được mã hóa H.264. Cảm ơn nhà nghiên cứu ẩn danh và Subreption LLC hợp tác với Zero Day Initiative của TippingPoint vì đã báo cáo sự cố này.

• QuickTime

  CVE-ID: CVE-2008-3628

  Phạm vi áp dụng: Windows Vista, XP SP2 và SP3

  Tác động: Hành động mở hình ảnh PICT được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc dừng ứng dụng đột ngột

  Mô tả: Sự cố con trỏ không hợp lệ xảy ra khi QuickTime xử lý hình ảnh PICT. Hành động mở một hình ảnh PICT được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố bằng cách lưu và khôi phục một chính xác biến toàn cục. Sự cố này không ảnh hưởng đến các hệ thống chạy Mac OS X. Cảm ơn David Wharton vì đã báo cáo sự cố này.

• QuickTime

  CVE-ID: CVE-2008-3629

  Phạm vi áp dụng: Mac OS X v10.4.9 – v10.4.11, Mac OS X v10.5 trở về sau, Windows Vista, XP SP2 và SP3

  Tác động: Hành động mở hình ảnh PICT được tạo với dụng ý xấu có thể dừng ứng dụng đột ngột

  Mô tả: Sự cố đọc ngoài giới hạn xảy ra trong quá trình QuickTime xử lý các hình ảnh PICT. Hành động mở hình ảnh PICT được tạo với dụng ý xấu có thể dừng ứng dụng đột ngột. Bản cập nhật này giải quyết sự cố bằng cách thực hiện xác thực bổ sung đối với hình ảnh PICT. Cảm ơn Sergio 'shadown' Alvarez tại n.runs AG vì đã báo cáo sự cố này.