Множественные уязвимости в Apple QuickTime

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки в реализации QuickTime for Java, которая позволяет недовереному Java апплету десериализировать объекты, созданные в QTJava. Удаленный пользователь может с помощью специально сформированного Web сайта получить доступ к важным данным и скомпрометировать целевую систему.

2. Уязвимость существует из-за ошибки при обработке внешних URL, встроенных в мультимедийный файл. Удаленный пользователь может получить доступ к потенциально важным данным.

3. Уязвимость существует из-за ошибки при обработке атомов в мультимедийном файле. Удаленный пользователь может с помощью специально сформированного файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки при обработке мультимедийных треков. Удаленный пользователь может с помощью специально сформированного мультимедийного файла вызвать повреждение памяти.

5. Уязвимость существует из-за ошибки в библиотеке quicktime.qts проверки границ данных в "crgn" атоме. Удаленный пользователь может с помощью специально сформированного мультимедийного файла вызвать повреждение динамической памяти и выполнить произвольный код на целевой системе.

6. Уязвимость существует из-за ошибки проверки границ данных в "chan" атоме. Удаленный пользователь может с помощью специально сформированного мультимедийного файла вызвать повреждение динамической памяти и выполнить произвольный код на целевой системе.

7. Уязвимость существует из-за ошибки проверки границ данных в библиотеке quicktime.qts при обработке PICT записей. Удаленный пользователь может с помощью специально сформированного PICT изображения вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

8. Уязвимость существует из-за ошибки проверки границ данных в библиотеке quicktime.qts при обработке сообщений об ошибке при работе с PICT изображениями. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

Примечание: уязвимость не распространяется на Mac OS X системы.

9. Уязвимость существует из-за ошибки проверки границ данных при обработке содержимого кодека Animation. Удаленный пользователь может с помощью специально сформированного мультимедийного файла вызвать повреждение динамической памяти и выполнить произвольный код на целевой системе.

Примечание: уязвимость не распространяется на Mac OS X системы.

10. Уязвимость существует из-за ошибки при обработке "obji" атомов. Удаленный пользователь может с помощью специально сформированного QuickTime VR фильма вызвать переполнение стека и выполнить произвольный код на целевой системе.

11. Уязвимость существует из-за ошибки при обработке кодека Clip. Удаленный пользователь может с помощью специально сформированного PICT изображения вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

URL производителя: www.apple.com/quicktime/

Решение: Установите последнюю версию 7.4.5 с сайта производителя.

QuickTime 7.4.5 for Windows:
http://www.apple.com/support/downloads/quicktime745forwindows.html

QuickTime 7.4.5 for Leopard:
http://www.apple.com/support/downloads/quicktime745forleopard.html

QuickTime 7.4.5 for Panther:
http://www.apple.com/support/downloads/quicktime745forpanther.html

QuickTime 7.4.5 for Tiger:
http://www.apple.com/support/downloads/quicktime745fortiger.html

Журнал изменений:

07.04.2008
Изменено описание уязвимости.