关于 QuickTime 7.7.1 的安全性内容

这篇文稿介绍了 QuickTime 7.7.1 的安全性内容。

为保护我们的客户，在未进行详尽调查并推出必要的修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新，请参阅“Apple 安全性更新”。

QuickTime 7.7.1

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：观看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  描述：QuickTime 在处理 H.264 编码影片文件时存在缓冲区溢出。对于 OS X Lion 系统，这个问题已在 OS X Lion v10.7.2 中得到解决。对于 Mac OS X v10.6 系统，这个问题已在“安全性更新 2011-006”中得到解决。

  CVE-ID

  CVE-2011-3219：与 TippingPoint 的 Zero Day Initiative 合作的 Damian Put

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：查看恶意制作的影片文件可能会导致内存内容泄露

  描述：QuickTime 在处理影片文件内的 URL 数据处理程序时存在未初始化的内存访问问题。对于 OS X Lion 系统，这个问题已在 OS X Lion v10.7.2 中得到解决。对于 Mac OS X v10.6 系统，这个问题已在“安全性更新 2011-006”中得到解决。

  CVE-ID

  CVE-2011-3220：与 TippingPoint 的 Zero Day Initiative 合作的 Luigi Auriemma

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：观看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  描述：QuickTime 在处理影片文件内的原子层次时存在实现问题。对于 OS X Lion 系统，这个问题已在 OS X Lion v10.7.2 中得到解决。对于 Mac OS X v10.6 系统，这个问题已在“安全性更新 2011-006”中得到解决。

  CVE-ID

  CVE-2011-3221：与 TippingPoint 的 Zero Day Initiative 合作的一位匿名研究人员

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：拥有特权网络地位的攻击者在查看模板 HTML 时可能会在本地域中注入脚本

  描述：QuickTime Player 进行“存储以供网页使用”导出时存在跨站点脚本问题。由这项功能生成的模板 HTML 文件从未加密的来源引用脚本文件。如果用户在本地查看模板文件，那么拥有特权网络地位的攻击者或许能够在本地域中注入恶意脚本。已通过移除对在线脚本的引用解决这个问题。这个问题不会影响 OS X Lion 系统。对于 Mac OS X v10.6 系统，这个问题已在“安全性更新 2011-006”中得到解决。

  CVE-ID

  CVE-2011-3218：vtty.com 的 Aaron Sigel

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：查看恶意制作的 FlashPix 文件可能会导致应用程序意外终止或任意代码执行

  描述：QuickTime 在处理 FlashPix 文件时存在缓冲区溢出。对于 OS X Lion 系统，这个问题已在 OS X Lion v10.7.2 中得到解决。对于 Mac OS X v10.6 系统，这个问题已在“安全性更新 2011-006”中得到解决。

  CVE-ID

  CVE-2011-3222：与 TippingPoint 的 Zero Day Initiative 合作的 Damian Put

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：观看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  描述：QuickTime 在处理 FLIC 文件时存在缓冲区溢出。对于 OS X Lion 系统，这个问题已在 OS X Lion v10.7.2 中得到解决。对于 Mac OS X v10.6 系统，这个问题已在“安全性更新 2011-006”中得到解决。

  CVE-ID

  CVE-2011-3223：与 TippingPoint 的 Zero Day Initiative 合作的 Matt 'j00ru' Jurczyk

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：观看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  描述：QuickTime 在处理影片文件时存在多个内存损坏问题。对于 OS X Lion 系统，这些问题已在 OS X Lion v10.7.2 中得到解决。对于 Mac OS X v10.6 系统，这些问题已在“安全性更新 2011-006”中得到解决。

  CVE-ID

  CVE-2011-3228：Apple

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：查看恶意制作的 PICT 文件可能会导致应用程序意外终止或任意代码执行

  描述：处理 PICT 文件时存在整数溢出问题。这个问题不会影响 Mac OS X 系统。

  CVE-ID

  CVE-2011-3247：与 TippingPoint 的 Zero Day Initiative 合作的 Luigi Auriemma

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：观看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  描述：处理嵌入在 QuickTime 影片文件中的字体表时存在符号问题。

  CVE-ID

  CVE-2011-3248：与 TippingPoint 的 Zero Day Initiative 合作的 Luigi Auriemma

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：观看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  描述：处理 FLC 编码影片文件时存在缓冲区溢出问题。

  CVE-ID

  CVE-2011-3249：与 TippingPoint 的 Zero Day Initiative 合作的 Matt 'j00ru' Jurczyk

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：观看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  描述：处理 JPEG2000 编码影片文件时存在整数溢出问题。

  CVE-ID

  CVE-2011-3250：与 TippingPoint 的 Zero Day Initiative 合作的 Luigi Auriemma

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：观看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  描述：处理 QuickTime 影片文件中的 TKHD 原子时存在内存损坏问题。这个问题不会影响 Mac OS X 系统。

  CVE-ID

  CVE-2011-3251：与 TippingPoint 的 Zero Day Initiative 合作的 Damian Put

• QuickTime

  适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

  影响：观看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  描述：QuickTime 在处理 RLE 编码影片文件时存在缓冲区溢出。这个问题不会影响 Mac OS X 系统。

  CVE-ID

  CVE-2011-3428：与 TippingPoint 的 Zero Day Initiative 合作的 Luigi Auriemma