關於 Windows 版 QuickTime 7.2 的保安更新

本文說明 Microsoft Windows 版 QuickTime 7.2 的保安更新。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認保安問題。如要進一步了解 Apple 產品的保安，請參閱 Apple 產品保安網站。

如需 Apple 產品保安 PGP 金鑰的相關資料，請參閱「如何使用 Apple 產品保安 PGP 金鑰」。

在可能的情況下，將會使用 CVE ID 來參照保安漏洞，以取得進一步資料。

要了解其他保安更新，請參閱「Apple 保安更新」。

QuickTime 7.2 的保安更新

QuickTime

CVE-ID：CVE-2007-4673

適用於：Windows Vista 和 XP SP2 版 QuickTime 7.2

影響：檢視惡意製作的 QTL 檔案可能導致執行任意程式碼。

說明：QuickTime 處理 QTL 檔案中 qtnext 欄位的 URL 方面出現指令注入問題。透過誘導用戶開啟特別製作的 QTL 檔案，攻擊者可令 app 以受控制指令列引數啟動，並可能導致系統執行任意程式碼。這項更新透過改善 URL 的處理機制，以解決此問題。此問題不會影響 Mac OS X。

安裝資料

QuickTime 7.2 的保安更新可透過「軟件更新」app 取得，或從「Apple 下載」網站取得。

如果 Windows 尚未執行 Apple「軟件更新」，你可從「開始」選單的「所有程式」中開啟此 app。此 app 會預設安裝於 C:\Program Files\Apple Software Update\SoftwareUpdate.exe。

如要驗證 QuickTime 版本是否已更新：

針對 Windows XP：

如果 QuickTime 為 7.2.0.245 或之後版本，則此保安更新已套用。

• 在 Windows Explorer，前往 C:\ProgramFiles\QuickTime\QTSystem\QuickTime.qts。

• 在 QuickTime.qts 上按一下右鍵，選擇「屬性」，然後按一下「版本」分頁。

針對 Windows Vista：

如果「建立日期」為 2007 年 9 月 21 日或之後，則此保安更新已套用。

• 在 Windows Explorer，前往 C:\ProgramFiles\QuickTime\QTSystem\QuickTime.qts。

• 在 QuickTime.qts 上按一下右鍵，選擇「屬性」，然後按一下「一般」分頁。