QuickTime 7.1.5의 보안 콘텐츠에 관하여

이 문서에서는 QuickTime 7.1.5의 보안 콘텐츠에 대해 설명합니다.

이 문서에서는 QuickTime 7.1.5의 보안 콘텐츠에 대해 설명합니다. 이 소프트웨어는 소프트웨어 업데이트 환경설정을 통해 또는 여기에서 다운로드하여 설치할 수 있습니다.

Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시 버전을 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용은 Apple 제품 보안 웹 사이트를 참조하십시오.

Apple 제품 보안 PGP 키에 관한 자세한 내용은 'Apple 제품 보안 PGP 키 사용 방법'을 참조하십시오.

가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.

다른 보안 업데이트에 대한 자세한 내용은 'Apple 보안 업데이트'를 참조하십시오.

QuickTime 7.1.5 업데이트

QuickTime

CVE-ID: CVE-2007-0711

대상: Windows Vista/XP/2000

영향: 악의적으로 제작된 3GP 파일을 보면 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다.

설명: QuickTime에서 3GP 비디오 파일을 처리할 때 정수 오버플로우가 발생합니다. 공격자는 악성 동영상을 열도록 사용자를 유도하여 오버플로우를 촉발할 수 있으며, 이로 인해 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 3GP 비디오 파일에 대한 추가 유효성 확인을 수행하여 문제를 해결합니다. 이 문제는 Mac OS X에는 영향을 미치지 않습니다. 이 문제를 보고해 주신 JJ Reyes 님께 감사드립니다.

QuickTime

CVE-ID: CVE-2007-0712

대상: Mac OS X v10.3.9 및 이후 버전, Windows Vista/XP/2000

영향: 악의적으로 제작된 MIDI 파일을 보면 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다.

설명: QuickTime에서 MIDI 파일을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 공격자는 악성 MIDI 파일을 열도록 사용자를 유도하여 오버플로우를 촉발할 수 있으며, 이로 인해 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 MIDI 파일에 대한 추가 유효성 확인을 수행하여 문제를 해결합니다. 이 문제를 보고해 주신 McAfee AVERT Labs의 Mike Price 님께 감사드립니다.

QuickTime

CVE-ID: CVE-2007-0713

대상: Mac OS X v10.3.9 및 이후 버전, Windows Vista/XP/2000

영향: 악의적으로 제작된 QuickTime 동영상 파일을 보면 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다.

설명: QuickTime에서 QuickTime 동영상 파일을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 공격자는 악의적으로 제작된 동영상에 접근하도록 사용자를 유도하여 오버플로우를 촉발할 수 있으며, 이로 인해 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 QuickTime 동영상에 대한 추가 유효성 확인을 수행하여 문제를 해결합니다. 이 문제를 보고해 주신 Artur Ogloza 님, Piotr Bania 님, McAfee AVERT Labs의 Mike Price 님께 감사드립니다.

QuickTime

CVE-ID: CVE-2007-0714

대상: Mac OS X v10.3.9 및 이후 버전, Windows Vista/XP/2000

영향: 악의적으로 제작된 QuickTime 동영상 파일을 보면 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다.

설명: QuickTime에서 동영상 파일의 UDTA 아톰을 처리할 때 정수 오버플로우가 발생합니다. 공격자는 악의적으로 제작된 동영상에 접근하도록 사용자를 유도하여 오버플로우를 촉발할 수 있으며, 이로 인해 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 QuickTime 동영상에 대한 추가 유효성 확인을 수행하여 문제를 해결합니다. 이 문제를 보고해 주신 Nevis Labs의 Sowhat 님, TippingPoint에 근무하면서 Zero Day Initiative에 참여 중인 익명의 연구원님께 감사드립니다.

QuickTime

CVE-ID: CVE-2007-0715

대상: Mac OS X v10.3.9 및 이후 버전, Windows Vista/XP/2000

영향: 악의적으로 제작된 PICT 파일을 보면 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다.

설명: QuickTime에서 PICT 파일을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 공격자는 악성 PICT 이미지 파일을 열도록 사용자를 유도하여 오버플로우를 촉발할 수 있으며, 이로 인해 임의 코드가 실행될 수 있습니다. 이 업데이트는 PICT 파일에 대한 추가 유효성 확인을 수행하여 문제를 해결합니다. 이 문제를 보고해 주신 McAfee AVERT Labs의 Mike Price 님께 감사드립니다.

QuickTime

CVE-ID: CVE-2007-0716

대상: Mac OS X v10.3.9 및 이후 버전, Windows Vista/XP/2000

영향: 악의적으로 제작된 QTIF 파일을 열면 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다.

설명: QuickTime에서 QTIF 파일을 처리할 때 스택 버퍼 오버플로우가 발생합니다. 공격자는 악의적으로 제작된 QTIF 파일에 접근하도록 사용자를 유도하여 오버플로우를 촉발할 수 있으며, 이로 인해 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 QTIF 파일에 대한 추가 유효성 확인을 수행하여 문제를 해결합니다. 이 문제를 보고해 주신 McAfee AVERT Labs의 Mike Price 님께 감사드립니다.

QuickTime

CVE-ID: CVE-2007-0717

대상: Mac OS X v10.3.9 및 이후 버전, Windows Vista/XP/2000

영향: 악의적으로 제작된 QTIF 파일을 열면 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다.

설명: QuickTime에서 QTIF 파일을 처리할 때 정수 오버플로우가 발생합니다. 공격자는 악의적으로 제작된 QTIF 파일에 접근하도록 사용자를 유도하여 오버플로우를 촉발할 수 있으며, 이로 인해 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 QTIF 파일에 대한 추가 유효성 확인을 수행하여 문제를 해결합니다. 이 문제를 보고해 주신 McAfee AVERT Labs의 Mike Price 님께 감사드립니다.

QuickTime

CVE-ID: CVE-2007-0718

대상: Mac OS X v10.3.9 및 이후 버전, Windows Vista/XP/2000

영향: 악의적으로 제작된 QTIF 파일을 열면 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다.

설명: QuickTime에서 QTIF 파일을 처리할 때 힙 버퍼 오버플로우가 발생합니다. 공격자는 악의적으로 제작된 QTIF 파일에 접근하도록 사용자를 유도하여 오버플로우를 촉발할 수 있으며, 이로 인해 응용 프로그램이 충돌하거나 임의 코드가 실행될 수 있습니다. 이 업데이트는 QTIF 파일에 대한 추가 유효성 확인을 수행하여 문제를 해결합니다. 이 문제를 보고해 주신 JJ Reyes 님과 iDefense Vulnerability Contributor Program에 참여 중인 Ruben Santamarta 님께 감사드립니다.

QuickTime

CVE-ID: CVE-2006-4965, CVE-2007-0059

대상: Mac OS X v10.3.9 및 이후 버전, Windows Vista/XP/2000

영향: 악의적으로 제작된 QuickTime 동영상 파일 또는 QTL 파일을 보면 로컬 도메인에서 임의의 JavaScript 코드가 실행될 수 있습니다.

설명: QuickTime의 브라우저 플러그인에 영역 간 스크립팅 문제가 있습니다. 공격자는 악성 QuickTime 동영상 파일 또는 QTL 파일을 열도록 사용자를 유도하여 이 문제를 촉발할 수 있으며, 이로 인해 로컬 도메인에서 임의의 JavaScript 코드가 실행될 수 있습니다. 이 문제는 Month of Apple Bugs 웹 사이트(MOAB-03-01-2007)에 설명되어 있습니다. 이 업데이트는 QTL 파일의 qtnext 속성과 QuickTime 동영상의 HREFtracks에서 URL 처리를 다음과 같이 변경하여 문제를 해결합니다. 동영상이 원격 사이트에서 로드되는 경우 'http:’ 및 'https:’ URL만 허용됩니다. 동영상이 로컬에서 로드되는 경우 'file:’ URL만 허용됩니다.

Mac 또는 Windows용 QuickTime 7.1.5는 소프트웨어 업데이트를 통해 다운로드하거나 http://www.apple.com/quicktime/download/에서 수동으로 다운로드할 수 있습니다.