Проблемы безопасности, устраняемые в QuickTime 7.7.3

В этом документе описаны проблемы безопасности, устраняемые в QuickTime 7.7.3.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

QuickTime 7.7.3

• Компонент QuickTime

  Доступно для ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

  Воздействие. Просмотр вредоносного файла PICT может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке записей REGION в файлах PICT возникала проблема переполнения буфера. Эта проблема устранена путем улучшенной проверки границ памяти.

  Идентификатор CVE

  CVE-2011-1374: Марк Ясон (Mark Yason) из IBM X-Force

• Компонент QuickTime

  Доступно для ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

  Воздействие. Просмотр вредоносного файла PICT может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке файлов PICT возникала проблема повреждения памяти. Эта проблема устранена путем улучшенной проверки границ памяти.

  Идентификатор CVE

  CVE-2012-3757: Джереми Браун (Jeremy Brown) из Microsoft и Microsoft Vulnerability Research (MSVR)

• Компонент QuickTime

  Доступно для ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

  Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке плагином QuickTime параметра _qtactivex_ внутри элемента HTML-объекта возникала ошибка использования памяти после ее освобождения. Проблема устранена путем улучшенной обработки памяти.

  Идентификатор CVE

  CVE-2012-3751: chkr_d591, работающий по программе iDefense VCP

• Компонент QuickTime

  Доступно для ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

  Воздействие. Просмотр вредоносного файла QuickTime TeXML может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке атрибута transform в элементах text3GTrack возникала проблема переполнения буфера. Эта проблема устранена путем улучшенной проверки границ памяти.

  Идентификатор CVE

  CVE-2012-3758: Александр Гаврун (Alexander Gavrun), работающий с компанией HP TippingPoint по программе Zero Day Initiative

• Компонент QuickTime

  Доступно для ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

  Воздействие. Просмотр вредоносного файла QuickTime TeXML может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке элементов style в файлах QuickTime TeXML возникало несколько ошибок переполнения буфера. Эти проблемы были устранены путем улучшенной проверки границ.

  Идентификатор CVE

  CVE-2012-3752: Арезоу Хоссейнзад-Амирхизи (Arezou Hosseinzad-Amirkhizi) из Vulnerability Research Team компании TELUS Security Labs

• Компонент QuickTime

  Доступно для ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

  Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке плагином QuickTime типов MIME возникала проблема переполнения буфера. Эта проблема устранена путем улучшенной проверки границ памяти.

  Идентификатор CVE

  CVE-2012-3753: Павел Полищук (Pavel Polischouk) из Vulnerability Research Team компании TELUS Security Labs

• Компонент QuickTime

  Доступно для ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

  Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке элементом управления ActiveX QuickTime метода Clear() возникала ошибка использования памяти после ее освобождения. Эта проблема устранена путем улучшенного управления памятью.

  Идентификатор CVE

  CVE-2012-3754: CHkr_d591, работающий по программе iDefense VCP

• Компонент QuickTime

  Доступно для ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

  Воздействие. Просмотр вредоносного файла Targa может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке файлов изображений Targa возникала проблема переполнения буфера. Эта проблема устранена путем улучшенной проверки границ памяти.

  Идентификатор CVE

  CVE-2012-3755: Senator of Pirates

• Компонент QuickTime

  Доступно для ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке блоков rnet в файлах MP4 возникала проблема переполнения буфера. Эта проблема устранена путем улучшенной проверки границ памяти.

  Идентификатор CVE

  CVE-2012-3756: Кевин Шкудлапский (Kevin Szkudlapski) из QuarksLab