关于 QuickTime 7.7 的安全性内容

这篇文稿介绍了 QuickTime 7.7 的安全性内容。

为保护我们的客户，在未进行详尽调查并推出必要的修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新，请参阅“Apple 安全性更新”。

QuickTime 7.7

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

  • 影响：查看恶意制作的 pict 文件可能会导致应用程序意外终止或任意代码执行

  • 描述：QuickTime 在处理 pict 文件时存在缓冲区溢出问题。查看恶意制作的 pict 文件可能会导致应用程序意外终止或任意代码执行。对于 Mac OS X v10.6 系统，这个问题已在 Mac OS X v10.6.8 中得到解决。这个问题不会影响 OS X Lion 系统。

  • CVE-ID

  • CVE-2011-0245：Subreption LLC 与 TippingPoint 的 Zero Day Initiative 合作发现

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

    影响：使用 QuickTime 查看恶意制作的 JPEG2000 图像可能会导致应用程序意外终止或任意代码执行

  • 描述：QuickTime 在处理 JPEG2000 图像时存在多个内存损坏问题。使用 QuickTime 查看恶意制作的 JPEG2000 图像可能会导致应用程序意外终止或任意代码执行。对于 Mac OS X v10.6 系统，这个问题已在 Mac OS X v10.6.7 中得到解决。这个问题不会影响 OS X Lion 系统。

  • CVE-ID

  • CVE-2011-0186：CERT/CC 的 Will Dormann

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

  • 描述：访问恶意制作的网站可能会导致其他网站的视频数据泄露

  • 描述：QuickTime 插件在处理跨站点重定向时存在跨源问题。访问恶意制作的网站可能会导致其他网站的视频数据泄露。已通过阻止 QuickTime 跟踪跨站点重定向来解决这个问题。对于 Mac OS X v10.6 系统，这个问题已在 Mac OS X v10.6.7 中得到解决。这个问题不会影响 OS X Lion 系统。

  • CVE-ID

  • CVE-2011-0187：Nirankush Panchbhai 和 Microsoft Vulnerability Research (MSVR)

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

  • 影响：播放恶意制作的 WAV 文件可能会导致应用程序意外终止或任意代码执行

  • 描述：QuickTime 在处理 RIFF WAV 文件时存在整数溢出问题。播放恶意制作的 WAV 文件可能会导致应用程序意外终止或任意代码执行。对于 Mac OS X v10.6 系统，这个问题已在 Mac OS X v10.6.8 中得到解决。这个问题不会影响 OS X Lion 系统。

  • CVE-ID

  • CVE-2011-0209：Luigi Auriemma 与 TippingPoint 的 Zero Day Initiative 合作发现

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

  • 影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  • 描述：QuickTime 在处理 QuickTime 影片文件中的样本表时存在内存损坏问题。查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行。对于 Mac OS X v10.6 系统，这个问题已在 Mac OS X v10.6.8 中得到解决。这个问题不会影响 OS X Lion 系统。

  • CVE-ID

  • CVE-2011-0210：Fortinet 的 FortiGuard Labs 的 Honggang Ren

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

  • 影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  • 描述：QuickTime 在处理影片文件中的音频通道时存在整数溢出问题。查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行。对于 Mac OS X v10.6 系统，这个问题已在 Mac OS X v10.6.8 中得到解决。这个问题不会影响 OS X Lion 系统。

  • CVE-ID

  • CVE-2011-0211：Luigi Auriemma 与 TippingPoint 的 Zero Day Initiative 合作发现

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

  • 影响：查看恶意制作的 JPEG 文件可能会导致应用程序意外终止或任意代码执行

  • 描述：QuickTime 在处理 JPEG 文件时存在缓冲区溢出问题。查看恶意制作的 JPEG 文件可能会导致应用程序意外终止或任意代码执行。对于 Mac OS X v10.6 系统，这个问题已在 Mac OS X v10.6.8 中得到解决。这个问题不会影响 OS X Lion 系统。

  • CVE-ID

  • CVE-2011-0213：Luigi Auriemma 与 iDefense VCP 合作发现

• QuickTime

  • 适用于：Windows 7、Vista、XP SP2 或更高版本

  • 影响：查看恶意制作的 GIF 图像可能会导致应用程序意外终止或任意代码执行

  • 描述：QuickTime 在处理 GIF 图像时存在堆缓冲区溢出问题。查看恶意制作的 GIF 图像可能会导致应用程序意外终止或任意代码执行。这个问题不会影响 Mac OS X 系统。

  • CVE-ID

  • CVE-2011-0246：一位匿名贡献者与 Beyond Security 的 SecuriTeam Secure Disclosure program 合作发现

• QuickTime

  • 适用于：Windows 7、Vista、XP SP2 或更高版本

  • 影响：查看恶意制作的 H.264 影片文件可能会导致应用程序意外终止或任意代码执行

  • 描述：处理 H.264 编码的影片文件时存在多个堆栈缓冲区溢出问题。查看恶意制作的 H.264 影片文件可能会导致应用程序意外终止或任意代码执行。这些问题不会影响 Mac OS X 系统。

  • CVE-ID

  • CVE-2011-0247：Roi Mallo 和 Sherab Giovannini 与 TippingPoint 的 Zero Day Initiative 合作发现

• QuickTime

  • 适用于：Windows 7、Vista、XP SP2 或更高版本

  • 影响：使用 Internet Explorer 访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  • 描述：QuickTime ActiveX 控件在处理 QTL 文件时存在堆栈缓冲区溢出问题。使用 Internet Explorer 访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。这个问题不会影响 Mac OS X 系统。

  • CVE-ID

  • CVE-2011-0248：Chkr_d591 与 TippingPoint 的 Zero Day Initiative 合作发现

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

  • 影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  • 描述：处理 QuickTime 影片文件中的 STSC 原子时存在堆缓冲区溢出问题。查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行。这个问题不会影响 OS X Lion 系统。

  • CVE-ID

  • CVE-2011-0249：Matt 'j00ru' Jurczyk 与 TippingPoint 的 Zero Day Initiative 合作发现

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

  • 影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  • 描述：处理 QuickTime 影片文件中的 STSS 原子时存在堆缓冲区溢出问题。查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行。这个问题不会影响 OS X Lion 系统。

  • CVE-ID

  • CVE-2011-0250：Matt 'j00ru' Jurczyk 与 TippingPoint 的 Zero Day Initiative 合作发现

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

  • 影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  • 描述：处理 QuickTime 影片文件中的 STSZ 原子时存在堆缓冲区溢出问题。查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行。这个问题不会影响 OS X Lion 系统。

  • CVE-ID

  • CVE-2011-0251：Matt 'j00ru' Jurczyk 与 TippingPoint 的 Zero Day Initiative 合作发现

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

  • 影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  • 描述：处理 QuickTime 影片文件中的 STTS 原子时存在堆缓冲区溢出问题。查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行。这个问题不会影响 OS X Lion 系统。

  • CVE-ID

  • CVE-2011-0252：Matt 'j00ru' Jurczyk 与 TippingPoint 的 Zero Day Initiative 合作发现

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

  • 影响：查看恶意制作的 PICT 文件可能会导致应用程序意外终止或任意代码执行

  • 描述：处理 PICT 文件时存在堆栈缓冲区溢出问题。查看恶意制作的 PICT 文件可能会导致应用程序意外终止或任意代码执行。这个问题不会影响 Mac OS X v10.7 系统。

  • CVE-ID

  • CVE-2011-0257：Matt 'j00ru' Jurczyk 与 TippingPoint 的 Zero Day Initiative 合作发现

• QuickTime

  • 适用于：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或更高版本

    影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  • 描述：处理 QuickTime 影片文件中的径迹运行原子时存在整数溢出问题。查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行。对于 Mac OS X v10.6 系统，这个问题已在 Mac OS X v10.6.8 中得到解决。这个问题不会影响 Mac OS X v10.7 系统。

  • CVE-ID

  • CVE-2011-0256：一位匿名研究人员与 TippingPoint 的 Zero Day Initiative 合作发现

• QuickTime

  • 适用于：Windows 7、Vista、XP SP2 或更高版本

  • 影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  • 描述：处理 QuickTime 影片文件中的图像描述时存在内存损坏问题。这个问题不会影响 Mac OS X 系统。

  • CVE-ID

  • CVE-2011-0258：Damian Put 与 TippingPoint 的 Zero Day Initiative 合作发现