關於 QuickTime 7.1.5 的保安內容
本文說明 QuickTime 7.1.5 的保安內容。
本文件說明 QuickTime 7.1.5 的保安內容,此版本可以透過「軟件更新」偏好設定或按此下載和安裝。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。如要進一步了解 Apple 產品保安的相關資料,請參閱「Apple 產品保安」網站。
如需 Apple 產品保安 PGP 金鑰的相關資料,請參閱「如何使用 Apple 產品保安 PGP 金鑰」一文。
如有可能,CVE ID 會用來參考保安漏洞,以取得進一步資料。
如要了解其他保安更新,請參閱「Apple 保安更新」一文。
QuickTime 7.1.5 更新
QuickTime
CVE-ID:CVE-2007-0711
適用於:Windows Vista/XP/2000
影響:檢視惡意製作的 3GP 檔案可能導致應用程式出現故障或執行任意程式碼。
說明:QuickTime 處理 3GP 影片檔案時,出現整數溢位。透過誘導用戶開啟惡意影片,攻擊者可觸發溢位,導致應用程式出現故障或執行任意程式碼。這項更新對 3GP 影片檔案進行額外驗證後,已解決此問題。上述問題不會影響 Mac OS X。感謝 JJ Reyes 回報此問題。
QuickTime
CVE-ID:CVE-2007-0712
適用於:Mac OS X v10.3.9 和之後版本、Windows Vista/XP/2000
影響:檢視惡意製作的 MIDI 檔案可能導致應用程式出現故障或執行任意程式碼。
說明:QuickTime 處理 MIDI 檔案時,出現堆積緩衝區溢位。透過誘導用戶開啟惡意 MIDI 檔案,攻擊者可觸發溢位,導致應用程式出現故障或執行任意程式碼。這項更新對 MIDI 檔案進行額外驗證後,已解決此問題。感謝 McAfee AVERT Labs 的 Mike Price 回報此問題。
QuickTime
CVE-ID:CVE-2007-0713
適用於:Mac OS X v10.3.9 和之後版本、Windows Vista/XP/2000
影響:檢視惡意製作的 QuickTime 影片檔案可能導致應用程式出現故障或執行任意程式碼。
說明:QuickTime 處理 QuickTime 影片檔案時,出現堆積緩衝區溢位。透過誘導用戶存取惡意製作的影片,攻擊者可觸發溢位,導致應用程式出現故障或執行任意程式碼。這項更新對 QuickTime 影片進行額外驗證後,已解決此問題。感謝 McAfee AVERT Labs 的 Mike Price、Piotr Bania 和 Artur Ogloza 回報此問題。
QuickTime
CVE-ID:CVE-2007-0714
適用於:Mac OS X v10.3.9 和之後版本、Windows Vista/XP/2000
影響:檢視惡意製作的 QuickTime 影片檔案可能導致應用程式出現故障或執行任意程式碼。
說明:QuickTime 處理影片檔案中的 UDTA 單元時,出現整數溢位。透過誘導用戶存取惡意製作的影片,攻擊者可觸發溢位,導致應用程式出現故障或執行任意程式碼。這項更新對 QuickTime 影片進行額外驗證後,已解決此問題。感謝 Nevis Labs 的 Sowhat 以及與 TippingPoint 和 Zero Day Initiative 合作的匿名研究員回報此問題。
QuickTime
CVE-ID:CVE-2007-0715
適用於:Mac OS X v10.3.9 和之後版本、Windows Vista/XP/2000
影響:檢視惡意製作的 PICT 檔案可能導致應用程式出現故障或執行任意程式碼。
說明:QuickTime 處理 PICT 檔案時,出現堆積緩衝區溢位。透過誘導用戶開啟惡意 PICT 影像檔案,攻擊者可觸發溢位,從而執行任意程式碼。這項更新對 PICT 檔案進行額外驗證後,已解決此問題。感謝 McAfee AVERT Labs 的 Mike Price 回報此問題。
QuickTime
CVE-ID:CVE-2007-0716
適用於:Mac OS X v10.3.9 和之後版本、Windows Vista/XP/2000
影響:開啟惡意製作的 QTIF 檔案可能導致應用程式出現故障或執行任意程式碼。
說明:QuickTime 處理 QTIF 檔案時,出現堆疊緩衝區溢位。透過誘導用戶存取惡意製作的 QTIF 檔案,攻擊者可觸發溢位,導致應用程式出現故障或執行任意程式碼。這項更新對 QTIF 檔案進行額外驗證後,已解決此問題。感謝 McAfee AVERT Labs 的 Mike Price 回報此問題。
QuickTime
CVE-ID:CVE-2007-0717
適用於:Mac OS X v10.3.9 和之後版本、Windows Vista/XP/2000
影響:開啟惡意製作的 QTIF 檔案可能導致應用程式出現故障或執行任意程式碼。
說明:QuickTime 處理 QTIF 檔案時,出現整數溢位。透過誘導用戶存取惡意製作的 QTIF 檔案,攻擊者可觸發溢位,導致應用程式出現故障或執行任意程式碼。這項更新對 QTIF 檔案進行額外驗證後,已解決此問題。感謝 McAfee AVERT Labs 的 Mike Price 回報此問題。
QuickTime
CVE-ID:CVE-2007-0718
適用於:Mac OS X v10.3.9 和之後版本、Windows Vista/XP/2000
影響:開啟惡意製作的 QTIF 檔案可能導致應用程式出現故障或執行任意程式碼。
說明:QuickTime 處理 QTIF 檔案時,出現堆積緩衝區溢位。透過誘導用戶存取惡意製作的 QTIF 檔案,攻擊者可觸發溢位,導致應用程式出現故障或執行任意程式碼。這項更新對 QTIF 檔案進行額外驗證後,已解決此問題。感謝與 iDefense Vulnerability Contributor Program 合作的 Ruben Santamarta 和 JJ Reyes 回報此問題。
QuickTime
CVE-ID:CVE-2006-4965、CVE-2007-0059
適用於:Mac OS X v10.3.9 和之後版本、Windows Vista/XP/2000
影響:檢視惡意製作的 QuickTime 影片檔案或 QTL 檔案,可能導致任意 JavaScript 程式碼在本機網域的背景下執行。
說明:QuickTime 的瀏覽器外掛程式存在跨區域指令碼攻擊問題。透過誘導用戶開啟惡意 QuickTime 影片檔案或 QTL 檔案,攻擊者可觸發問題,導致任意 JavaScript 程式碼在本機網域的背景下執行。此問題已在「Apple 程式錯誤月」網站 (MOAB-03-01-2007) 上加以說明。這項更新對 QTL 檔案 qtnext 屬性中的 URL 及 QuickTime 影片中的 HREFTracks 的處理方式作出了以下變更,已解決此問題。如果影片是從遙距網站載入,只允許載入以 http: 和 https: 開頭的 URL。如果影片是在本機載入,則只允許載入以 file: 開頭的 URL。
Mac 或 Windows 版 QuickTime 7.1.5 可透過「軟件更新」取得,或從以下網址手動下載: http://www.apple.com/quicktime/download/。