關於 QuickTime 7.1.6 的保安內容

本文件說明 QuickTime 7.1.6 的保安內容，此內容可以透過「軟件更新」 偏好設定或從「Apple 下載」網站下載和安裝。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認保安問題。如要進一步了解 Apple 產品保安，請瀏覽 Apple 產品保安網站。

如想了解 Apple 產品保安 PGP 密鑰的資料，請參閱「如何使用 Apple 產品保安 PGP 密鑰」。

在可能的情況下，CVE ID 會用於參照保安漏洞以提供進一步資料。

如要了解其他保安更新，請參閱「Apple 保安更新」。

QuickTime 7.1.6 更新

QuickTime

CVE-ID：CVE-2007-2175

適用於：Mac OS X 版本 10.3.9、Mac OS X 版本 10.4.9、Windows XP SP2、Windows 2000 SP4

影響：瀏覽惡意網站可能導致執行任意程式碼。

說明：QuickTime for Java 存在執行問題，可能會允許超出堆積配置界限的讀取或寫入操作。攻擊者可以透過誘導使用者瀏覽含惡意製作 Java 小程式的網頁來觸發問題，繼而導致執行任意程式碼。這項更新透過在建立 QTPointerRef 物件時執行額外的界限檢查，以解決此問題。感謝 Dino Dai Zovi 與 TippingPoint 和 Zero Day Initiative 合作報告此問題。