關於安全性更新 2007-001
本文說明安全性更新 2007-001,可透過軟體更新偏好設定,或是從 Apple 下載項目下載並安裝。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。
若要了解其他安全性更新,請參閱 Apple 安全性更新。
安全性更新 2007-001
QuickTime
CVE-ID:CVE-2007-0015
適用於:Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.8、Mac OS X Server v10.4.8、Windows XP/2000 上的 QuickTime 7.1.3
影響:造訪惡意網站可能導致得以執行任意程式碼。
說明:QuickTime 處理 RTSP URL 時,出現緩衝區溢位。攻擊者可透過引誘使用者存取惡意製作的 RTSP URL 來觸發緩衝區溢位,而可能導致得以執行任意程式碼。Month of Apple Bugs 網站(MOAB-01-01-2007)上已發布會觸發此問題的 QTL 檔案。此更新透過對 RTSP URL 執行額外驗證來解決此問題。
Windows 資訊
若要確認你的 QuickTime 版本已更新:
在 [Windows 檔案總管] 中,導覽至 QuickTimePlayer.exe 所在位置。通常此位置為(C:\Program Files\QuickTime\)。
以滑鼠右鍵按一下 QuickTimePlayer.exe,選取 [屬性],然後按一下 [版本] 索引標籤。
如果 QuickTime 是 7.1.3.191 或以上版本,則已經套用安全性更新,而你已完成確認。如果 QuickTime 版本早於 7.1.3.191,請前往步驟 2。
2. 如果電腦上並未安裝「Apple 軟體更新」,但已安裝 QuickTime,請解除安裝 QuickTime:
若要查看是否已安裝「Apple 軟體更新」:請從 [開始] 功能表,導覽至 [所有程式]。如果出現「Apple 軟體更新」,請跳至步驟 3。
如果未安裝「Apple 軟體更新」:請從 [開始] 功能表,導覽至 [所有程式],找到 [QuickTime],然後選擇 [解除安裝 QuickTime]。
3. 確認系統上已安裝 QuickTime 7.1.3 和「Apple 軟體更新」。
你可以依照上述步驟 1 所述,判斷 QuickTime 版本。
若要安裝這些檔案,請選取標示為「安裝 Windows 2000/XP 版 iTunes 的 QuickTime 7.1.3」或「Windows 2000/XP 版 QuickTime 7.1.3」的選項來安裝。
在 QuickTime 或 iTunes 安裝程式中,選取「安裝 Windows 版 Apple Software Update」選項。
4. 確認你有 Apple 軟體更新 1.0.2 或以上版本。
若要檢查版本:
在 [Windows 檔案總管] 中,導覽至 SoftwareUpdate.exe 所在位置。通常此位置為(C:\Program Files\Apple Software Update\SoftwareUpdate.exe)。
以滑鼠右鍵按一下 SoftwareUpdate.exe,選取 [屬性],然後按一下 [版本] 索引標籤。
若要將「Apple 軟體更新」更新至 1.0.2 或以上版本:
從 [開始] 功能表,導覽至 [所有程式],選取 [Apple 軟體更新]。
執行「軟體更新」時,你會看到 Apple 軟體更新 1.0.2 或以上版本。
按一下 [安裝 1 項] 按鈕,以安裝最新版本的 Apple 軟體更新。
5. 透過「Apple 軟體更新」應用程式安裝「安全性更新 2007-001」。
如果尚未執行「Apple 軟體更新」,你可以從 [所有程式] 下方的 [開始] 功能表開啟。根據預設,它會安裝於(C:\Program Files\Apple Software Update\SoftwareUpdate.exe)。
如步驟 1 所述,檢查 QuickTime 版本,確認已套用安全性修補程式。