关于 QuickTime 7.4.5 安全性内容
摘要
本文档介绍 QuickTime 7.4.5 安全性内容。
为保护我们的客户,在未进行详尽的调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请访问 Apple 产品安全性网站。
有关 Apple 产品安全 PGP 密匙的信息,请参阅“How to use the Apple Product Security PGP Key”。
如果可能,请使用 CVE ID 来查阅漏洞的详细信息。
要了解其他安全更新内容,请参阅“Apple 安全性更新”。
受影响的产品
QuickTime 7 (Windows), QuickTime 7 (OS X), 产品安全性
QuickTime 7.4.5 QuickTime CVE-ID:CVE-2008-1013 适用于:Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5 或更高版本、Windows Vista、XP SP2 影响:不可信的 Java 小程序可能获得更高的权限 说明:QuickTime for Java 中的实施问题允许不可信的 Java 小程序对 QTJava 提供的对象进行并行化。访问某些包含恶意制作的 Java 小程序的网站可能会导致泄漏敏感信息或以当前用户的权限强制执行任意代码。此更新通过禁止不可信的 Java 小程序对 QTJava 对象进行并行化解决了此问题。感谢 Adam Gowdiak 报告此问题。 QuickTime CVE-ID:CVE-2008-1014 适用于:Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5 或更高版本、Windows Vista、XP SP2 影响:下载电影文件可能会导致信息泄漏 说明:特殊制作的 QuickTime 电影可自动打开外部 URL,这可能会导致信息泄漏。此更新通过改进对电影文件中嵌入的外部 URL 的处理方法解决了这一问题。感谢 Open Tech Solutions 的 Jorge Escala 以及 McAfee Avert Labs 的 Vinoo Thomas 和 Rahul Mohandas 报告此问题。 QuickTime CVE-ID:CVE-2008-1015 适用于:Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5 或更高版本、Windows Vista、XP SP2 影响:浏览恶意制作的电影文件可能会引发应用程序意外终止或任意代码执行 说明:QuickTime 在处理数据引用原子时出现的问题可能会导致缓冲区溢出。浏览恶意制作的电影文件可能会引发应用程序意外终止或任意代码执行。本更新通过对数据引用原子进行额外验证解决了此问题。感谢 Carnegie Mellon University Computing Services 的 Chris Ries 报告此问题。 QuickTime CVE-ID:CVE-2008-1016 适用于:Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5 或更高版本、Windows Vista、XP SP2 影响:浏览恶意制作的电影文件可能会引发应用程序意外终止或任意代码执行 说明:QuickTime 在处理电影媒体轨道时会出现内存被损坏的问题浏览恶意制作的电影文件可能会引发应用程序意外终止或任意代码执行。本更新通过改进电影媒体轨道的验证解决了此问题。 QuickTime CVE-ID:CVE-2008-1017 适用于:Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5 或更高版本、Windows Vista、XP SP2 影响:浏览恶意制作的电影文件可能会引发应用程序意外终止或任意代码执行 说明:QuickTime 在解析“crgn”原子时出现的问题可能会导致堆缓冲区溢出。浏览恶意制作的电影文件可能会引发应用程序意外终止或任意代码执行。此更新通过改进边界检查来解决此问题。感谢与 TippingPoint 的 Zero Day Initiative 合作的 Sanbin Li 报告此问题。 QuickTime CVE-ID:CVE-2008-1018 适用于:Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5 或更高版本、Windows Vista、XP SP2 影响:浏览恶意制作的电影文件可能会引发应用程序意外终止或任意代码执行 说明:QuickTime 在解析“chan”原子时出现的问题可能会导致堆缓冲区溢出。浏览恶意制作的电影文件可能会引发应用程序意外终止或任意代码执行。此更新通过改进边界检查来解决此问题。感谢与 TippingPoint 的 Zero Day Initiative 合作的匿名研究者报告此问题。 QuickTime CVE-ID: CVE-2008-1019 适用于:Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5 或更高版本、Windows Vista、XP SP2 影响:打开恶意制作的 PICT 图像文件可能会导致应用程序意外终止或任意代码执行 说明:QuickTime 在处理 PICT 记录时出现的问题可能会导致堆缓冲区溢出。浏览恶意制作的 PICT 图像文件可能会导致应用程序意外终止或任意代码执行。此更新通过改进边界检查来解决此问题。感谢与 TippingPoint 的 Zero Day Initiative 合作的 bugfree 报告此问题。 QuickTime CVE-ID:CVE-2008-1020 适用于:Windows Vista、XP SP2 影响:打开恶意制作的 PICT 图像文件可能会导致应用程序意外终止或任意代码执行 说明:PICT 图像处理过程中出现错误信息时,QuickTime 对其进行处理时出现的问题可能会导致堆缓冲区溢出。浏览恶意制作的 PICT 图像可能会导致应用应用程序意外终止或任意代码执行。此更新通过改进边界检查来解决此问题。此问题并不影响 Mac OS X 系统。感谢与 TippingPoint 的 Zero Day Initiative 合作的 Reversemode.com 的 Ruben Santamarta 报告此问题。 QuickTime CVE-ID:CVE-2008-1021 适用于:Windows Vista、XP SP2 影响:浏览恶意制作的电影文件可能会引发应用程序意外终止或任意代码执行 说明:QuickTime 在处理 Animation codec 内容时出现的问题可能会导致堆缓冲区溢出。浏览恶意制作的含有 Animation codec 内容的电影文件可能会引发应用程序意外终止或任意代码执行。此更新通过改进边界检查来解决此问题。此问题并不影响 Mac OS X 系统。感谢与 TippingPoint 的 Zero Day Initiative 合作的匿名研究者报告此问题。 QuickTime CVE-ID:CVE-2008-1022 适用于:Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5 或更高版本、Windows Vista、XP SP2 影响:浏览恶意制作的 QuickTime VR 电影文件可能会引发应用程序意外终止或任意代码执行 说明:QuickTime 在解析“obji”原子时出现的问题可能会导致堆栈缓冲区溢出。浏览恶意制作的 QuickTime VR 电影文件可能会引发应用程序意外终止或任意代码执行。此更新通过改进边界检查来解决此问题。感谢与 TippingPoint 的 Zero Day Initiative 合作的匿名研究者报告此问题。