關於 QuickTime 7.4.5 的安全性內容
摘要
此文件描述了 QuickTime 7.4.5 的安全性內容。
為了保護客戶利益,在執行完整調查並且可以使用所有必要的修補程式或發行版本之前,Apple 不會洩漏、討論或確認安全問題。若要瞭解有關「Apple 產品安全性」的更多資訊,請造訪 Apple 產品安全性網站。
如需有關「Apple 產品安全性 PGP 金鑰」的資訊,請參閱「如何使用 Apple 產品安全 PGP 金鑰」。
如有可能,可以使用 CVE ID 參閱有關漏洞的更多詳細資訊。
若要取得其他「安全更新」,請參閱「Apple 安全更新」。
受影響的產品
QuickTime 7 (Windows), QuickTime 7 (OS X), 產品安全性
QuickTime 7.4.5 Quicktime CVE-ID: CVE-2008-1013 適用於:Mac OS X v10.3.9、Mac OS X v10.4.9 或更新版本、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 影響:不受信任的 Java 小程序可能取得更高的權限 說明:QuickTime for Java 中的實作問題可讓不受信任的 Java 小程序反序列化由 QTJava 提供的物件。造訪包含惡意製作的 Java 小程序網頁可讓機密資訊洩漏,或者使用目前使用者的權限任意執行代碼。此更新藉由禁止不可信的 Java 小程序對 QTJava 對象進行反序列化解決了此問題。感謝 Adam Gowdiak 報告此問題。 Quicktime CVE-ID: CVE-2008-1014 適用於:Mac OS X v10.3.9、Mac OS X v10.4.9 或更新版本、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 影響:下載影片檔案可能會導致資訊洩漏 說明:特意製作的 QuickTime 影片可以自動打開外部 URL,這可能會導致資訊洩漏。此更新透過改善對影片檔案中嵌入之外部 URL 的處理方法解決了此問題。感謝 Open Tech Solutions 的 Jorge Escala 和 McAfee Avert Labs 的 Vinoo Thomas 和 Rahul Mohandas 報告此問題。 Quicktime CVE-ID: CVE-2008-1015 適用於:Mac OS X v10.3.9、Mac OS X v10.4.9 或更新版本、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 影響:檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行 說明:QuickTime 處理資料參考單元中的問題可能會導致緩衝區溢位。檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行。此項更新藉由對資料引用單元進行額外認證,解決了此問題。感謝 Carnegie Mellon University Computing Services 的 Chris Ries 報告此問題。 Quicktime CVE-ID: CVE-2008-1016 適用於:Mac OS X v10.3.9、Mac OS X v10.4.9 或更新版本、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 影響:檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行 說明:QuickTime 處理電影媒體磁軌時出現記憶體損毀漏洞。檢視惡意製作的電影檔案可能導致非預期的應用程式終止或程式碼自動執行。此更新透過改善電影媒體磁軌驗證解決了問題。 Quicktime CVE-ID: CVE-2008-1017 適用於:Mac OS X v10.3.9、Mac OS X v10.4.9 或更新版本、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 影響:檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行 說明:QuickTime 剖析 'crgn' 單元中的問題將出現堆疊緩衝區溢位。檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行。此更新藉由改善界限檢查解決了問題。感謝任職於 TippingPoint Zero Day Initiative 的 Sanbin Li 報告此問題。 Quicktime CVE-ID: CVE-2008-1018 適用於:Mac OS X v10.3.9、Mac OS X v10.4.9 或更新版本、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 影響:檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行 說明:QuickTime 剖析 'chan' 單元中的問題將出現堆疊緩衝區溢位。檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行。此更新藉由改善界限檢查解決了問題。感謝任職於 TippingPoint Zero Day Initiative 的匿名研究員報告此問題。 Quicktime CVE-ID: CVE-2008-1019 適用於:Mac OS X v10.3.9、Mac OS X v10.4.9 或更新版本、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 影響:開啟惡意製作的 PICT 影像檔案可能造成非預期的應用程式終止或程式碼自動執行 說明:QuickTime 處理 PICT 記錄中的問題將出現堆疊緩衝區溢位。檢視惡意製作的 PICT 影像檔可能造成非預期的應用程式終止或程式碼自動執行。此更新藉由改善界限檢查解決了問題。感謝輿 TippingPoint 的 Zero Day Initiative 合作的 bugfree 報告此問題。 Quicktime CVE-ID: CVE-2008-1020 適用於:Windows Vista、XP SP2 影響:開啟惡意製作的 PICT 影像檔案可能造成非預期的應用程式終止或程式碼自動執行 說明:PICT 影像處理過程中出現錯誤訊息時,QuickTime 對其進行處理時出現的問題可能會導致堆疊緩衝區溢位。檢視惡意製作的 PICT 影像可能會導致非預期的應用程式終止或程式碼自動執行。 此更新藉由改善界限檢查解決了問題。此問題不會影響 Mac OS X 系統。感謝任職於 TippingPoint Zero Day Initiative 的 Reversemode.com 的 Ruben Santamarta 報告此問題。 Quicktime CVE-ID: CVE-2008-1021 適用於:Windows Vista、XP SP2 影響:檢視惡意製作的影片檔案可能導致非預期的應用程式終止或程式碼自動執行 說明:QuickTime 處理動畫解碼器內容中的問題將出現堆疊緩衝區溢位。檢視惡意製作的具有動畫解碼器內容的影片檔案可能會導致應用程式意外終止或任意執行代碼。此更新藉由改善界限檢查解決了問題。此問題不會影響 Mac OS X 系統。感謝任職於 TippingPoint Zero Day Initiative 的匿名研究員報告此問題。 Quicktime CVE-ID: CVE-2008-1022 適用於:Mac OS X v10.3.9、Mac OS X v10.4.9 或更新版本、Mac OS X v10.5 或更新版本、Windows Vista、XP SP2 影響:檢視惡意製作的 QuickTime VR 影片檔案可能導致非預期的應用程式終止或程式碼自動執行 說明:QuickTime 剖析 'obji' 單元中的問題將出現堆疊緩衝區溢位。檢視惡意製作的 QuickTime VR 影片檔案可能導致非預期的應用程式終止或程式碼自動執行。此更新藉由改善界限檢查解決了問題。感謝任職於 TippingPoint Zero Day Initiative 的匿名研究員報告此問題。