Lamiyi

Appleは、Leopard、Tiger、Panther、Windows向けのQuickTimeアップデートをリリースしました。このアップデートでは、プログラムの危険なセキュリティ上の欠陥が修正されています。

クイックタイム 7.3.1

QuickTime
● CVE-ID: CVE-2007-6166
● 対象: Mac OS X v10.3.9、Mac OS X v10.4.9 以降、Mac OS X v10.5 以降、Windows Vista、XP SP2
● 影響: 悪意を持って作成された RTSP ムービーを表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります
。 ● 説明: QuickTime の Real Time Streaming Protocol (RTSP) ヘッダーの処理にバッファオーバーフローの脆弱性が存在します。悪意を持って作成された RTSP ムービーをユーザーに表示させることで、攻撃者はアプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。このアップデートでは、出力バッファがデータを格納するのに十分なサイズになるようにすることで、この問題に対処しています。

QuickTime
● CVE-ID: CVE-2007-4706
● 対象OS: Mac OS X v10.3.9、Mac OS X v10.4.9以降、Mac OS X v10.5以降、Windows Vista、XP SP2
● 影響: 悪意を持って作成されたQTLファイルを表示する
と、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。 ● 説明: QuickTimeのQTLファイルの処理にヒープバッファオーバーフローの脆弱性が存在します。悪意を持って作成されたQTLファイルをユーザーに表示させることで、攻撃者はアプリケーションを予期せず終了させたり、任意のコードを実行させたりする可能性があります。このアップデートでは、境界チェックを強化することでこの問題に対処しています。

QuickTime
● CVE-ID: CVE-2007-4707
● 対象: Mac OS X v10.3.9、Mac OS X v10.4.9 以降、Mac OS X v10.5 以降、Windows Vista、XP SP2
● 影響: QuickTime の Flash メディア ハンドラーにおける複数の脆弱性
● 説明: QuickTime の Flash メディア ハンドラーには複数の脆弱性が存在し、最も深刻な場合には任意のコード実行につながる可能性があります。このアップデートにより、安全だとわかっている既存の QuickTime ムービーの一部を除き、QuickTime の Flash メディア ハンドラーは無効になります。この問題の報告は、Adobe Secure Software Engineering Team (ASSET) の Tom Ferris 氏、McAfee Avert Labs の Mike Price 氏、および Syseclabs のセキュリティ研究者 Lionel d'Hauenens 氏と Brian Mariani 氏の功績です。