Acerca dos conteúdos de segurança do QuickTime 7.5
Este documento descreve os conteúdos de segurança do QuickTime 7.5, que podem ser descarregados e instalados através das preferências de Atualização de software ou a partir das Descargas da Apple.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".
QuickTime 7.5
QuickTime
ID CVE: CVE-2008-1581
Disponível para: Windows Vista, XP SP2
Impacto: abrir um ficheiro de imagem PICT criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
Descrição: um problema no processamento do QuickTime das estruturas PixData ao processar uma imagem PICT pode resultar na ultrapassagem do limite máximo do buffer na área dinâmica. Abrir uma imagem PICT criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através da verificação melhorada dos limites. Este problema não afeta os sistemas que executam o Mac OS X. Crédito a Dyon Balding da Secunia Research por ter comunicado este problema.
QuickTime
ID CVE: CVE-2008-1582
Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2
Impacto: abrir um conteúdo multimédia com codificação AAC criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
Descrição: existe um problema de corrupção de memória no processamento de conteúdos multimédia com codificação AAC pelo QuickTime. Impacto: abrir um ficheiro multimédia criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através da validação adicional de ficheiros multimédia. Crédito a Dave Soldera da NGS Software e a Jens Alfke por terem comunicado este problema.
QuickTime
ID CVE: CVE-2008-1583
Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2
Impacto: abrir um ficheiro de imagem PICT criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
Descrição: existe uma ultrapassagem do limite máximo do buffer na área dinâmica no processamento de imagens PICT pelo QuickTime. Abrir um ficheiro de imagem PICT criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através da verificação melhorada dos limites. Crédito a Liam O Murchu da Symantec por ter comunicado este problema.
QuickTime
ID CVE: CVE-2008-1584
Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2
Impacto: visualizar conteúdos multimédia de vídeo do Indeo 4 criados com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
Descrição: um problema no processamento do conteúdo do codec de vídeo Indeo pelo QuickTime pode resultar na ultrapassagem do limite máximo do buffer de pilha. Visualizar um ficheiro de filme criado com intuito malicioso com o conteúdo do codec de vídeo Indeo poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao não renderizar conteúdos do codec de vídeo Indeo 4. Crédito a um investigador anónimo que trabalha com a Zero Day Initiative da TippingPoint por ter comunicado este problema.
QuickTime
ID CVE: CVE-2008-1585
Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2
Impacto: reproduzir conteúdos QuickTime criados com intuito malicioso no QuickTime Player pode provocar a execução de um código arbitrário.
Descrição: existe um problema de processamento de URL no processamento do ficheiro: URLs pelo QuickTime. Isto pode permitir que aplicações e ficheiros arbitrários sejam iniciados quando um utilizador reproduz conteúdos QuickTime criados com intuito malicioso no QuickTime Player. Esta atualização resolve o problema ao revelar ficheiros no Finder ou no Explorador do Windows em vez de os iniciar. O crédito a Vinoo Thomas e Rahul Mohadas da McAfee Avert Labs e a Petko D. (pdp) Petkov da GNUCITIZEN que trabalha com a Zero Day Initiative da TippingPoint por terem comunicado este problema.
QuickTime
ID CVE: CVE-2008-2319
Disponível para: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 ou posterior, Windows Vista, XP SP2
Impacto: abrir um ficheiro de imagem PICT criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
Descrição: um problema de extensão de sinal no processamento de imagens PICT pelo QuickTime pode provocar a ultrapassagem do limite máximo do buffer na área dinâmica. Abrir um ficheiro de imagem PICT criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao tratar o valor como não assinado. Os nossos agradecimentos a Sergio 'shadown' Alvarez da n.runs AG por ter comunicado este problema.