關於保安更新 2007-001
本文說明保安更新 2007-001 的內容。這項更新可透過「軟件更新」偏好設定或「Apple 下載項目」網頁進行下載和安裝。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。如要進一步了解 Apple 產品保安的相關資料,請參閱「Apple 產品保安」網站。
如需 Apple 產品保安 PGP 金鑰的相關資料,請參閱「如何使用 Apple 產品保安 PGP 金鑰」一文。
如有可能,CVE ID 會用來參考保安漏洞,以取得進一步資料。
如要了解其他保安更新,請參閱「Apple 保安更新」一文。
保安更新 2007-001
QuickTime
CVE-ID:CVE-2007-0015
適用於:Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.8、Mac OS X Server v10.4.8 和 Windows XP/2000 上的 QuickTime 7.1.3
影響:瀏覽惡意網站可能導致執行任意程式碼。
說明:QuickTime 處理 RTSP URL 時,出現緩衝區溢位。透過誘導用戶存取惡意製作的 RTSP URL,攻擊者可觸發緩衝區溢位,從而執行任意程式碼。觸發此問題的 QTL 檔案已在「Apple 程式錯誤月」網站 (MOAB-01-01-2007) 上公佈。這項更新對 RTSP URL 進行額外驗證後,已解決此問題。
Windows 資料
如要驗證 QuickTime 版本是否已更新:
在「Windows 檔案總管」中,前往 QuickTimePlayer.exe 所在的位置。這個位置通常是 (C:\Program Files\QuickTime\)。
在 QuickTimePlayer.exe 上按一下右鍵,選擇「內容」,然後按一下「版本」分頁。
如果 QuickTime 為 7.1.3.191 或之後的版本,則表示保安更新已套用並完成。如果 QuickTime 為 7.1.3.191 之前的版本,則請前往步驟 2。
2. 如果你的電腦尚未安裝 Apple Software Update,但已安裝 QuickTime,請解除安裝 QuickTime:
如要查看你是否已安裝 Apple Software Update:請從「開始」選單前往「所有程序」。如果出現 Apple Software Update,請跳至步驟 3。
如果你尚未安裝 Apple Software Update:則請從「開始」選單前往「所有程式」,找出「QuickTime」,然後選擇「解除安裝 QuickTime」。
3. 確認系統已安裝 QuickTime 7.1.3 和 Apple Software Update。
你可以按照步驟 1 所述的方式,判斷 QuickTime 的版本。
選擇標示為「配備 Windows 2000/XP 版 iTunes 的 QuickTime 7.1.3」或「Windows 2000/XP 版 QuickTime 7.1.3」的選項後,即可安裝上述軟件。
在 QuickTime 或 iTunes 安裝程式中,選擇「安裝 Windows 版 Apple Software Update」選項。
4. 確認你已安裝 Apple Software Update 1.0.2 或之後版本。
如要查看 Apple Software Update 的版本:
在「Windows 檔案總管」中,前往 SoftwareUpdate.exe 所在的位置。這個位置通常是 (C:\Program Files\Apple Software Update\SoftwareUpdate.exe)。
在 SoftwareUpdate.exe 上按一下右鍵,選擇「內容」,然後按一下「版本」分頁。
如要將 Apple Software Update 更新至 1.0.2 或之後版本:
從「開始」選單前往「所有程序」,然後選擇「Apple Software Update」。
執行軟件更新後,你會看到 Apple Software Update 1.0.2 或之後的版本。
按一下「安裝 1 個項目」按鈕,即可安裝最新版本的 Apple Software Update。
5. 透過 Apple Software Update 應用程式安裝保安更新 2007-001。
如果 Apple Software Update 尚未執行,你可以在「開始」選單的「所有程序」下開啟該應用程式。Apple Software Update 的預設安裝位置為 (C:\Program Files\Apple Software Update\SoftwareUpdate.exe)。
請按照步驟 1 所述的方式查看 QuickTime 版本,以確認你已套用保安修補程式。