Giới thiệu về nội dung bảo mật của QuickTime 7.6.2

Tài liệu này mô tả nội dung bảo mật của QuickTime 7.6.2.

Nhằm bảo vệ khách hàng, Apple không tiết lộ, thảo luận hay xác nhận các vấn đề về bảo mật chừng nào chưa điều tra triệt để cũng như chưa có các bản vá hoặc bản phát hành cần thiết. Để tìm hiểu thêm về việc Bảo mật sản phẩm Apple, hãy truy cập trang web Bảo mật sản phẩm Apple.

Để tìm hiểu thông tin về Khóa PGP Bảo mật sản phẩm Apple, hãy xem bài viết "Cách sử dụng Khóa PGP Bảo mật sản phẩm Apple".

Nếu có thể, hãy tham chiếu các lỗ hổng bảo mật theo Mã số định danh lỗ hổng bảo mật (Common Vulnerabilities and Exposures ID, CVE-ID) để biết thêm thông tin.

Để tìm hiểu về các Bản cập nhật bảo mật khác, hãy xem bài viết "Bản cập nhật bảo mật của Apple".

QuickTime 7.6.2

• QuickTime

  CVE-ID: CVE-2009-0188

  Phạm vi áp dụng: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista và XP SP3

  Tác động: Việc mở tệp phim được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý

  Mô tả: Đã xảy ra vấn đề hỏng bộ nhớ trong quá trình QuickTime xử lý tệp video Sorenson 3. Vấn đề này có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý. Bản cập nhật này giải quyết vấn đề trên bằng cách tiến hành xác thực bổ sung đối với tệp video Sorenson 3. Cảm ơn Carsten Eiram thuộc Secunia Research đã báo cáo vấn đề này.

• QuickTime

  CVE-ID: CVE-2009-0951

  Phạm vi áp dụng: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista và XP SP3

  Tác động: Việc mở tệp nén FLC được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý

  Mô tả: Đã xảy ra lỗi tràn bộ đệm heap trong quá trình xử lý tệp nén FLC. Việc mở tệp nén FLC được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý. Bản cập nhật này giải quyết sự cố thông qua việc nâng cao hiệu quả kiểm tra biên. Xin ghi nhận công lao của một nhà nghiên cứu ẩn danh hợp tác với Zero Day Initiative của TippingPoint vì đã báo cáo sự cố này.

• QuickTime

  CVE-ID: CVE-2009-0952

  Phạm vi áp dụng: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista và XP SP3

  Tác động: Việc xem hình ảnh PSD được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý

  Mô tả: Đã xảy ra lỗi tràn bộ nhớ đệm trong quá trình xử lý hình ảnh PSD dạng nén. Việc mở tệp PSD dạng nén được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý. Bản cập nhật này giải quyết sự cố thông qua việc nâng cao hiệu quả kiểm tra biên. Cảm ơn Damian Put (đang hợp tác với Zero Day Initiative của TippingPoint) đã báo cáo sự cố này.

• QuickTime

  CVE-ID: CVE-2009-0010

  Phạm vi áp dụng: Windows Vista và XP SP3

  Tác động: Việc mở hình ảnh PICT được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý

  Mô tả: Lỗi tràn dưới số nguyên trong quá trình QuickTime xử lý hình ảnh PICT có thể gây ra lỗi tràn bộ đệm heap. Hành động mở một tệp PICT được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố bằng cách thực hiện xác thực bổ sung đối với hình ảnh PICT. Cảm ơn Sebastian Apelt (đang hợp tác với Zero Day Initiative của TippingPoint) và Chris Ries thuộc Carnegie Mellon University Computing Services đã báo cáo vấn đề này.

• QuickTime

  CVE-ID: CVE-2009-0953

  Phạm vi áp dụng: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista và XP SP3

  Tác động: Việc mở hình ảnh PICT được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý

  Mô tả: Đã xảy ra lỗi tràn bộ đệm heap trong quá trình QuickTime xử lý hình ảnh PICT. Hành động mở một tệp PICT được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố bằng cách thực hiện xác thực bổ sung đối với hình ảnh PICT. Cảm ơn Sebastian Apelt (đang hợp tác với Zero Day Initiative của TippingPoint) đã báo cáo vấn đề này.

• QuickTime

  CVE-ID: CVE-2009-0954

  Phạm vi áp dụng: Windows Vista và XP SP3

  Tác động: Việc mở tệp phim được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý

  Mô tả: Đã xảy ra lỗi tràn bộ đệm heap trong quá trình QuickTime xử lý loại nguyên tử Clipping Region (CRGN) trong tệp phim. Hành động mở một tệp phim được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố thông qua việc nâng cao hiệu quả kiểm tra biên. Sự cố này không ảnh hưởng đến các hệ thống Mac OS X. Xin ghi nhận công lao của một nhà nghiên cứu ẩn danh hợp tác với Zero Day Initiative của TippingPoint vì đã báo cáo sự cố này.

• QuickTime

  CVE-ID: CVE-2009-0185

  Phạm vi áp dụng: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista và XP SP3

  Tác động: Việc xem tệp phim được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý

  Mô tả: Đã xảy ra lỗi tràn bộ đệm heap trong quá trình xử lý dữ liệu âm thanh được mã hóa theo định dạng MS ADPCM. Hành động xem một tệp phim được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố thông qua việc nâng cao hiệu quả kiểm tra biên. Cảm ơn Alin Rad Pop thuộc Secunia Research đã báo cáo vấn đề này.

• QuickTime

  CVE-ID: CVE-2009-0955

  Phạm vi áp dụng: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista và XP SP3

  Tác động: Việc mở tệp video được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý

  Mô tả: Đã xảy ra vấn đề với phần mở rộng dấu trong quá trình QuickTime xử lý nguyên tử mô tả hình ảnh. Việc mở tệp video Apple được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý. Bản cập nhật này giải quyết vấn đề trên bằng cách cải thiện khả năng xác thực các nguyên tử mô tả. Cảm ơn Roee Hay thuộc IBM Rational Application Security Research Group đã báo cáo vấn đề này.

• QuickTime

  CVE-ID: CVE-2009-0956

  Phạm vi áp dụng: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista và XP SP3

  Tác động: Việc xem tệp phim có nguyên tử dữ liệu người dùng được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý

  Mô tả: Đã xảy ra vấn đề truy cập bộ nhớ khi chưa khởi tạo giá trị bộ nhớ trong quá trình QuickTime xử lý tệp phim. Việc xem tệp phim có kích thước nguyên tử dữ liệu người dùng bằng 0 có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý. Bản cập nhật này giải quyết vấn đề trên bằng cách tiến hành xác thực bổ sung đối với tệp phim, đồng thời hiển thị hộp thoại cảnh báo cho người dùng. Cảm ơn Lurene Grenier thuộc Sourcefire, Inc. (VRT) đã báo cáo vấn đề này.

• QuickTime

  CVE-ID: CVE-2009-0957

  Phạm vi áp dụng: Mac OS X v10.4.11, Mac OS X v10.5.7, Windows Vista và XP SP3

  Tác động: Việc xem hình ảnh JP2 được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý

  Mô tả: Đã xảy ra lỗi tràn bộ đệm heap trong quá trình QuickTime xử lý hình ảnh JP2. Việc xem hình ảnh JP2 được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý. Bản cập nhật này giải quyết sự cố thông qua việc nâng cao hiệu quả kiểm tra biên. Cảm ơn Charlie Miller thuộc Independent Security Evaluators và Damian Put (đang hợp tác với Zero Day Initiative của TippingPoint) đã báo cáo vấn đề này.