關於 QuickTime 7.7 的保安內容

本文件說明 QuickTime 7.7 的保安內容。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認安全性問題。如要進一步了解 Apple 產品的保安，請參閱 Apple 產品保安網站。

如需 Apple 產品保安 PGP 金鑰的相關資料，請參閱「如何使用 Apple 產品保安 PGP 金鑰」一文。

在可能的情況下，CVE ID 會用於參照保安漏洞，以提供進一步資料。

如要了解其他保安更新，請參閱「Apple 保安更新」一文。

QuickTime 7.7

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP 或之後版本

  • 影響：檢視惡意製作的 pict 檔案時，可能導致應用程式意外終止或執行任意程式碼

  • 說明：QuickTime 處理 pict 檔案時，出現緩衝區溢位。檢視惡意製作的 pict 檔案可能導致應用程式意外終止或執行任意程式碼。在 Mac OS X v10.6 系統中，此問題已於 Mac OS X v10.6.8 中解決。此問題不影響 OS X Lion 系統。

  • CVE-ID

  • CVE-2011-0245：Subreption LLC (與 TippingPoint 的 Zero Day Initiative 合作)

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或之後版本

    影響：以 QuickTime 檢視惡意製作的 JPEG2000 影像可能導致應用程式意外終止或執行任意程式碼

  • 說明：QuickTime 處理 JPEG2000 影像的方法有多個記憶體損毀的問題。以 QuickTime 檢視惡意製作的 JPEG2000 影像可能導致應用程式意外終止或執行任意程式碼。在 Mac OS X v10.6 系統中，此問題已於 Mac OS X v10.6.7 中解決。此問題不影響 OS X Lion 系統。

  • CVE-ID

  • CVE-2011-0186：CERT/CC 的 Will Dormann

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP 或之後版本

  • 影響：瀏覽惡意製作的網站可能導致其他網站的視訊資料外洩

  • 說明：QuickTime 外掛模組處理跨網站轉址的方法有跨來源問題。瀏覽惡意製作的網站可能導致其他網站的視訊資料外洩。已透過禁止 QuickTime 遵守跨網站轉址的要求，處理這項問題。在 Mac OS X v10.6 系統中，此問題已於 Mac OS X v10.6.7 中解決。此問題不影響 OS X Lion 系統。

  • CVE-ID

  • CVE-2011-0187：Nirankush Panchbhai 和 Microsoft Vulnerability Research (MSVR)

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP 或之後版本

  • 影響：播放惡意製作的 WAV 檔案可能導致應用程式意外終止或執行任意程式碼

  • 說明：QuickTime 處理 RIFF WAV 檔案時，出現整數溢位。播放惡意製作的 WAV 檔案可能導致應用程式意外終止或執行任意程式碼。在 Mac OS X v10.6 系統中，此問題已於 Mac OS X v10.6.8 中解決。此問題不影響 OS X Lion 系統。

  • CVE-ID

  • CVE-2011-0209：Luigi Auriemma (與 TippingPoint 的 Zero Day Initiative 合作)

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP 或之後版本

  • 影響：檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

  • 說明：QuickTime 處理 QuickTime 影片檔案的範例表格時，出現記憶體損毀問題。檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼。在 Mac OS X v10.6 系統中，此問題已於 Mac OS X v10.6.8 中解決。此問題不影響 OS X Lion 系統。

  • CVE-ID

  • CVE-2011-0210：Fortinet FortiGuard Labs 的 Honggang Ren

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP 或之後版本

  • 影響：檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

  • 說明：QuickTime 處理影片檔案中的聲道時，出現整數溢位。檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼。在 Mac OS X v10.6 系統中，此問題已於 Mac OS X v10.6.8 中解決。此問題不影響 OS X Lion 系統。

  • CVE-ID

  • CVE-2011-0211：Luigi Auriemma (與 TippingPoint 的 Zero Day Initiative 合作)

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP 或之後版本

  • 影響：檢視惡意製作的 JPEG 檔案可能導致應用程式意外終止或執行任意程式碼

  • 說明：QuickTime 處理 JPEG 檔案時，出現緩衝區溢位。檢視惡意製作的 JPEG 檔案可能導致應用程式意外終止或執行任意程式碼。在 Mac OS X v10.6 系統中，此問題已於 Mac OS X v10.6.8 中解決。此問題不影響 OS X Lion 系統。

  • CVE-ID

  • CVE-2011-0213：Luigi Auriemma (與 iDefense VCP 合作)

• QuickTime

  • 適用於：Windows 7、Vista、XP SP2 或之後版本

  • 影響：檢視惡意製作的 GIF 影像時，可能導致應用程式意外終止或執行任意程式碼

  • 說明：QuickTime 處理 GIF 影像時，出現堆積緩衝區溢位。檢視惡意製作的 GIF 影像可能導致應用程式意外終止或執行任意程式碼。此問題不影響 Mac OS X 系統。

  • CVE-ID

  • CVE-2011-0246：匿名貢獻者 (與 Beyond Security 的 SecuriTeam Secure Disclosure 計劃合作)

• QuickTime

  • 適用於：Windows 7、Vista、XP SP2 或之後版本

  • 檢視惡意製作的 H.264 影片檔案可能導致應用程式意外終止或執行任意程式碼

  • 說明：處理 H.264 編碼影片檔案時，出現多個堆疊緩衝區溢位。檢視惡意製作的 H.264 影片檔案可能導致應用程式意外終止或執行任意程式碼。這些問題不影響 Mac OS X 系統。

  • CVE-ID

  • CVE-2011-0247：Roi Mallo 和 Sherab Giovannini (與 TippingPoint 的 Zero Day Initiative 合作)

• QuickTime

  • 適用於：Windows 7、Vista、XP SP2 或之後版本

  • 影響：使用 Internet Explorer 瀏覽惡意製作的網站可能導致應用程式意外終止或執行任意程式碼

  • 說明：QuickTime ActiveX 控制項處理 QTL 檔案時，出現堆疊緩衝區溢位。使用 Internet Explorer 瀏覽惡意製作的網站可能導致應用程式意外終止或執行任意程式碼。此問題不影響 Mac OS X 系統。

  • CVE-ID

  • CVE-2011-0248：Chkr_d591 (與 TippingPoint 的 Zero Day Initiative 合作)

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP 或之後版本

  • 影響：檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

  • 說明：處理 QuickTime 影片檔案中的 STSC 單元時，出現堆積緩衝區溢位。檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼。此問題不會影響 OS X Lion 系統。

  • CVE-ID

  • CVE-2011-0249：Matt 'j00ru' Jurczyk (與 TippingPoint 的 Zero Day Initiative 合作)

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP 或之後版本

  • 影響：檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

  • 說明：處理 QuickTime 影片檔案中的 STSS 單元時，出現堆積緩衝區溢位。檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼。此問題不會影響 OS X Lion 系統。

  • CVE-ID

  • CVE-2011-0250：Matt 'j00ru' Jurczyk (與 TippingPoint 的 Zero Day Initiative 合作)

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP 或之後版本

  • 影響：檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

  • 說明：處理 QuickTime 影片檔案中的 STSZ 單元時，出現堆積緩衝區溢位。檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼。此問題不會影響 OS X Lion 系統。

  • CVE-ID

  • CVE-2011-0251：Matt 'j00ru' Jurczyk (與 TippingPoint 的 Zero Day Initiative 合作)

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP 或之後版本

  • 影響：檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

  • 說明：處理 QuickTime 影片檔案中的 STTS 單元時，出現堆積緩衝區溢位。檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼。此問題不會影響 OS X Lion 系統。

  • CVE-ID

  • CVE-2011-0252：Matt 'j00ru' Jurczyk (與 TippingPoint 的 Zero Day Initiative 合作)

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP 或之後版本

  • 影響：檢視惡意製作的 PICT 檔案時，可能導致應用程式意外終止或執行任意程式碼

  • 說明：處理 PICT 檔案時，出現堆疊緩衝區溢位。檢視惡意製作的 PICT 檔案可能導致應用程式意外終止或執行任意程式碼。此問題不影響 Mac OS X v10.7 系統。

  • CVE-ID

  • CVE-2011-0257：Matt 'j00ru' Jurczyk (與 TippingPoint 的 Zero Day Initiative 合作)

• QuickTime

  • 適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows 7、Vista、XP SP2 或之後版本

    影響：以 QuickTime 檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

  • 說明：處理 QuickTime 影片檔案中音軌執行單元時，出現整數溢位。檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼。在 Mac OS X v10.6 系統中，此問題已於 Mac OS X v10.6.8 中解決。此問題不影響 Mac OS X v10.7 系統。

  • CVE-ID

  • CVE-2011-0256：匿名研究員 (與 TippingPoint 的 Zero Day Initiative 合作)

• QuickTime

  • 適用於：Windows 7、Vista、XP SP2 或之後版本

  • 影響：檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

  • 說明：處理 QuickTime 影片檔案中的影像描述時，存在記憶體損毀問題。此問題不影響 Mac OS X 系統。

  • CVE-ID

  • CVE-2011-0258：Damian Put (與 TippingPoint 的 Zero Day Initiative 合作)