关于 QuickTime 7.1.5 的安全性内容
本文介绍了 QuickTime 7.1.5 的安全性内容。
本文介绍了 QuickTime 7.1.5 的安全性内容,这个版本可通过“软件更新”偏好设置或者在这里进行下载和安装。
为了保护我们的客户,在进行详尽调查并推出任何必要的修补程序或发行版之前,Apple 不会透露、讨论或确认安全性问题。要进一步了解 Apple 产品安全性,请参阅“Apple 产品安全性”网站。
如需了解 Apple 产品安全性 PGP 密钥,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
在可能的情况下,我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。
要了解其他安全性更新,请参阅“Apple 安全性更新”。
QuickTime 7.1.5 更新
QuickTime
CVE-ID:CVE-2007-0711
适用于:Windows Vista/XP/2000
影响:观看恶意制作的 3GP 文件可能会导致应用程序崩溃或任意代码执行。
描述:QuickTime 在处理 3GP 视频文件时存在整数溢出问题。通过诱使用户打开恶意影片,攻击者可以触发溢出事件,这可能会导致应用程序崩溃或任意代码执行。这一更新通过进行额外的 3GP 视频文件验证,解决了这个问题。这个问题并不影响 Mac OS X。感谢 JJ Reyes 报告这个问题。
QuickTime
CVE-ID:CVE-2007-0712
适用于:Mac OS X v10.3.9 及更高级版本、Windows Vista/XP/2000
影响:观看恶意制作的 MIDI 文件可能会导致应用程序崩溃或任意代码执行。
描述:QuickTime 在处理 MIDI 文件时存在堆缓冲区溢出问题。通过诱使用户打开恶意 MIDI 文件,攻击者可以触发溢出事件,这可能会导致应用程序崩溃或任意代码执行。这一更新通过进行额外的 MIDI 文件验证,解决了这个问题。感谢 McAfee AVERT Labs 的 Mike Price 报告这个问题。
QuickTime
CVE-ID:CVE-2007-0713
适用于:Mac OS X v10.3.9 及更高级版本、Windows Vista/XP/2000
影响:观看恶意制作的 QuickTime 影片文件可能会导致应用程序崩溃或任意代码执行。
描述:QuickTime 在处理 QuickTime 影片文件时存在堆缓冲区溢出问题。通过诱使用户访问恶意制作的影片,攻击者可以触发溢出事件,这可能会导致应用程序崩溃或任意代码执行。这一更新通过进行额外的 QuickTime 影片验证,解决了这个问题。感谢 McAfee AVERT Labs 的 Mike Price、Piotr Bania 和 Artur Ogloza 报告这个问题。
QuickTime
CVE-ID:CVE-2007-0714
适用于:Mac OS X v10.3.9 及更高级版本、Windows Vista/XP/2000
影响:观看恶意制作的 QuickTime 影片文件可能会导致应用程序崩溃或任意代码执行。
描述:QuickTime 在处理影片文件中的 UDTA 原子时存在整数溢出问题。通过诱使用户访问恶意制作的影片,攻击者可以触发溢出事件,这可能会导致应用程序崩溃或任意代码执行。这一更新通过进行额外的 QuickTime 影片验证,解决了这个问题。感谢 Nevis Labs 的 Sowhat 以及为 TippingPoint 和 Zero Day Initiative 工作的匿名研究人员报告这个问题。
QuickTime
CVE-ID:CVE-2007-0715
适用于:Mac OS X v10.3.9 及更高级版本、Windows Vista/XP/2000
影响:观看恶意制作的 PICT 文件可能会导致应用程序崩溃或任意代码执行。
描述:QuickTime 在处理 PICT 文件时存在堆缓冲区溢出问题。通过诱使用户打开恶意 PICT 图像文件,攻击者可以触发溢出事件,这可能会导致任意代码执行。这一更新通过进行额外的 PICT 文件验证,解决了这个问题。感谢 McAfee AVERT Labs 的 Mike Price 报告这个问题。
QuickTime
CVE-ID: CVE-2007-0716
适用于:Mac OS X v10.3.9 及更高级版本、Windows Vista/XP/2000
影响:打开恶意制作的 QTIF 文件可能会导致应用程序崩溃或任意代码执行。
描述:QuickTime 在处理 QTIF 文件时存在堆栈缓冲区溢出问题。通过诱使用户访问恶意制作的 QTIF 文件,攻击者可以触发溢出事件,这可能会导致应用程序崩溃或任意代码执行。这一更新通过进行额外的 QTIF 文件验证,解决了这个问题。感谢 McAfee AVERT Labs 的 Mike Price 报告这个问题。
QuickTime
CVE-ID:CVE-2007-0717
适用于:Mac OS X v10.3.9 及更高级版本、Windows Vista/XP/2000
影响:打开恶意制作的 QTIF 文件可能会导致应用程序崩溃或任意代码执行。
描述:QuickTime 在处理 QTIF 文件时存在整数溢出问题。通过诱使用户访问恶意制作的 QTIF 文件,攻击者可以触发溢出事件,这可能会导致应用程序崩溃或任意代码执行。这一更新通过进行额外的 QTIF 文件验证,解决了这个问题。感谢 McAfee AVERT Labs 的 Mike Price 报告这个问题。
QuickTime
CVE-ID:CVE-2007-0718
适用于:Mac OS X v10.3.9 及更高级版本、Windows Vista/XP/2000
影响:打开恶意制作的 QTIF 文件可能会导致应用程序崩溃或任意代码执行。
描述:QuickTime 在处理 QTIF 文件时存在堆缓冲区溢出问题。通过诱使用户访问恶意制作的 QTIF 文件,攻击者可以触发溢出事件,这可能会导致应用程序崩溃或任意代码执行。这一更新通过进行额外的 QTIF 文件验证,解决了这个问题。感谢为 iDefense Vulnerability Contributor Program 工作的 Ruben Santamarta 和 JJ Reyes 报告这个问题。
QuickTime
CVE-ID:CVE-2006-4965、CVE-2007-0059
适用于:Mac OS X v10.3.9 及更高级版本、Windows Vista/XP/2000
影响:观看恶意制作的 QuickTime 影片文件或 QTL 文件可能会导致在本地域上下文中发生任意 JavaScript 代码执行。
描述:QuickTime 的浏览器插件中存在跨区域脚本攻击问题。通过诱使用户打开恶意 QuickTime 影片文件或 QTL 文件,攻击者可以触发这个问题,这可能会导致在本地域上下文中发生任意 JavaScript 代码执行。Month of Apple Bugs 网站 (MOAB-03-01-2007) 中介绍了这个问题。这一更新通过按如下方式更改 QTL 文件 Qtnext 属性中的 URL 和 QuickTime 影片中的 HREFTracks 的处理方式,解决了这个问题。如果影片从远程站点载入,则仅允许载入“http:”和“https:”URL。如果影片在本地载入,则仅允许载入“file:”URL。
适用于 Mac 或 Windows 的 QuickTime 7.1.5 可以通过“软件更新”获取,也可以从以下位置手动下载:http://www.apple.com/quicktime/download/。