关于 QuickTime 7.3 的安全性内容

本文介绍了 QuickTime 7.3 的安全性内容，可以通过“软件更新”偏好设置或 Apple 下载网站进行下载和安装。

为了保护我们的客户，在进行详尽调查并推出任何必要的修补程序或发行版之前，Apple 不会透露、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

如需了解其他安全性更新，请参阅“Apple 安全性更新”。

QuickTime 7.3

QuickTime

CVE-ID：CVE-2007-2395

适用于：Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5、Windows Vista、XP SP2

影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行。

描述：QuickTime 在处理图像描述原子时存在内存损坏问题。攻击者通过诱使用户打开恶意制作的影片文件，可能会导致应用程序意外终止或任意代码执行。此更新通过对 QuickTime 图像描述进行额外验证解决了这个问题。由衷感谢 Adobe Systems Incorporated 的 Dylan Ashe 报告此问题。

QuickTime

CVE-ID：CVE-2007-3750

适用于：Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5、Windows Vista、XP SP2

影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行。

描述：QuickTime Player 在处理样本表样本描述符 (STSD) 原子时存在堆缓冲区溢出。攻击者通过诱使用户打开恶意制作的影片文件，可能会导致应用程序意外终止或任意代码执行。此更新通过对 STSD 原子进行额外验证解决了这个问题。由衷感谢 www.trapkit.de 的 Tobias Klein 报告此问题。

QuickTime

CVE-ID：CVE-2007-3751

适用于：Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5、Windows Vista、XP SP2

影响：不受信任的 Java 小程序可能会获得提升的权限。

描述：QuickTime for Java 中存在多个漏洞，可能会允许不受信任的 Java 小程序获得提升的权限。攻击者通过诱使用户访问包含恶意制作的 Java 小程序的网页，可能会导致敏感信息泄露并以提升的权限执行任意代码。此更新通过使 QuickTime for Java 不再能被不受信任的 Java 小程序访问解决了这个问题。由衷感谢 Adam Gowdiak 报告此问题。

QuickTime

CVE-ID：CVE-2007-4672

适用于：Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5、Windows Vista、XP SP2

影响：打开恶意制作的 PICT 图像可能会导致应用程序意外终止或任意代码执行。

描述：PICT 图像处理中存在堆栈缓冲区溢出。攻击者通过诱使用户打开恶意制作的图像，可能会导致应用程序意外终止或任意代码执行。此更新通过对 PICT 文件进行额外验证解决了这个问题。由衷感谢 reversemode.com 的 Ruben Santamarta 与 TippingPoint 和 Zero Day Initiative 一起报告此问题。

QuickTime

CVE-ID：CVE-2007-4676

适用于：Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5、Windows Vista、XP SP2

影响：打开恶意制作的 PICT 图像可能会导致应用程序意外终止或任意代码执行。

描述：PICT 图像处理中存在堆缓冲区溢出。攻击者通过诱使用户打开恶意制作的图像，可能会导致应用程序意外终止或任意代码执行。此更新通过对 PICT 文件进行额外验证解决了这个问题。由衷感谢 reversemode.com 的 Ruben Santamarta 与 TippingPoint 和 Zero Day Initiative 一起报告此问题。

QuickTime

CVE-ID：CVE-2007-4675

适用于：Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5、Windows Vista、XP SP2

影响：查看恶意制作的 QTVR 影片文件可能会导致应用程序意外终止或任意代码执行。

描述：QuickTime 在处理 QTVR（QuickTime 虚拟现实）影片文件中的全景样本原子时存在堆缓冲区溢出。攻击者通过诱使用户查看恶意制作的 QTVR 文件，可能会导致应用程序意外终止或任意代码执行。此更新通过对全景样本原子进行边界检查解决了这个问题。由衷感谢 48bits.com 的 Mario Ballano 与 VeriSign iDefense VCP 一起报告此问题。

QuickTime

CVE-ID：CVE-2007-4677

适用于：Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5、Windows Vista、XP SP2

影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行。

描述：打开影片文件时，对颜色表原子的解析中存在堆缓冲区溢出。攻击者通过诱使用户打开恶意制作的影片文件，可能会导致应用程序意外终止或任意代码执行。此更新通过对颜色表原子进行额外验证解决了这个问题。由衷感谢 reversemode.com 的 Ruben Santamarta 和 48bits.com 的 Mario Ballano 与 TippingPoint 和 Zero Day Initiative 一起报告此问题。

QuickTime

CVE-ID：CVE-2007-4674

适用于：Mac OS X v10.3.9、Mac OS X v10.4.9 或更高版本、Mac OS X v10.5、Windows Vista、XP SP2

影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行。

描述：QuickTime 在处理特定影片文件原子时存在整数算法问题，可能会导致堆栈缓冲区溢出。攻击者通过诱使用户打开恶意制作的影片文件，可能会导致应用程序意外终止或任意代码执行。此更新通过改进对影片文件中原子长度字段的处理解决了这个问题。由衷感谢 TippingPoint DVLabs 的 Cody Pierce 报告此问题。