關於 QuickTime 7.1.5 的安全性內容
本文說明 QuickTime 7.1.5 的安全性內容。
本文說明 QuickTime 7.1.5 的安全性內容,此內容可透過軟體更新偏好設定,或是從此處下載並安裝。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。
若要了解其他安全性更新,請參閱 Apple 安全性更新。
QuickTime 7.1.5 更新
QuickTime
CVE-ID:CVE-2007-0711
適用於:Windows Vista/XP/2000
影響:檢視惡意製作的 3GP 檔案,可能導致應用程式意外終止或得以執行任意程式碼。
說明:QuickTime 處理 3GP 影片檔案時,出現整數溢位。攻擊者可透過引誘使用者開啟惡意影片來觸發溢位,而可能導致應用程式意外終止或得以執行任意程式碼。此更新透過對 3GP 影片檔案執行額外驗證來解決此問題。此問題不會影響 Mac OS X。感謝 JJ Reyes 回報此問題。
QuickTime
CVE-ID:CVE-2007-0712
適用於:Mac OS X v10.3.9 和以上版本、Windows Vista/XP/2000
影響:檢視惡意製作的 MIDI 檔案,可能導致應用程式意外終止或得以執行任意程式碼。
說明:QuickTime 處理 MIDI 檔案時,出現堆積緩衝區溢位。攻擊者可透過引誘使用者開啟 MIDI 檔案來觸發溢位,而可能導致應用程式意外終止或得以執行任意程式碼。此更新透過對 MIDI 檔案執行額外驗證來解決此問題。感謝 McAfee AVERT Labs 的 Mike Price 回報此問題。
QuickTime
CVE-ID:CVE-2007-0713
適用於:Mac OS X v10.3.9 和以上版本、Windows Vista/XP/2000
影響:檢視惡意製作的 QuickTime 影片檔案,可能導致應用程式意外終止或得以執行任意程式碼。
說明:QuickTime 處理 QuickTime 影片檔案時,出現堆積緩衝區溢位。攻擊者可透過引誘使用者存取惡意製作的影片來觸發溢位,而可能導致應用程式意外終止或得以執行任意程式碼。此更新透過對 QuickTime 影片檔案執行額外驗證來解決此問題。感謝 McAfee AVERT Labs 的 Mike Price、Piotr Bania 和 Artur Ogloza 回報此問題。
QuickTime
CVE-ID:CVE-2007-0714
適用於:Mac OS X v10.3.9 和以上版本、Windows Vista/XP/2000
影響:檢視惡意製作的 QuickTime 影片檔案,可能導致應用程式意外終止或得以執行任意程式碼。
說明:QuickTime 處理影片檔案中的 UDTA 元資料時,出現整數溢位。攻擊者可透過引誘使用者存取惡意製作的影片來觸發溢位,而可能導致應用程式意外終止或得以執行任意程式碼。此更新透過對 QuickTime 影片檔案執行額外驗證來解決此問題。感謝 Nevis Labs 的 Sowhat,以及與 TippingPoint 和 Zero Day Initiative 合作的匿名研究員回報此問題。
QuickTime
CVE-ID:CVE-2007-0715
適用於:Mac OS X v10.3.9 和以上版本、Windows Vista/XP/2000
影響:檢視惡意製作的 PICT 檔案,可能導致應用程式意外終止或得以執行任意程式碼。
說明:QuickTime 處理 PICT 檔案時,出現堆積緩衝區溢位。攻擊者可透過引誘使用者開啟惡意 PICT 影像檔案來觸發溢位,而可能導致應用程式意外終止或得以執行任意程式碼。此更新透過對 PICT 檔案執行額外驗證來解決此問題。感謝 McAfee AVERT Labs 的 Mike Price 回報此問題。
QuickTime
CVE-ID:CVE-2007-0716
適用於:Mac OS X v10.3.9 和以上版本、Windows Vista/XP/2000
影響:開啟惡意製作的 QTIF 檔案,可能導致應用程式意外終止或得以執行任意程式碼。
說明:QuickTime 處理 QTIF 檔案時,出現堆疊緩衝區溢位。攻擊者可透過引誘使用者存取惡意製作的 QTIF 檔案來觸發溢位,而可能導致應用程式意外終止或得以執行任意程式碼。此更新透過對 QTIF 檔案執行額外驗證來解決此問題。感謝 McAfee AVERT Labs 的 Mike Price 回報此問題。
QuickTime
CVE-ID:CVE-2007-0717
適用於:Mac OS X v10.3.9 和以上版本、Windows Vista/XP/2000
影響:開啟惡意製作的 QTIF 檔案,可能導致應用程式意外終止或得以執行任意程式碼。
說明:QuickTime 處理 QTIF 檔案時,出現整數溢位。攻擊者可透過引誘使用者存取惡意製作的 QTIF 檔案來觸發溢位,而可能導致應用程式意外終止或得以執行任意程式碼。此更新透過對 QTIF 檔案執行額外驗證來解決此問題。感謝 McAfee AVERT Labs 的 Mike Price 回報此問題。
QuickTime
CVE-ID:CVE-2007-0718
適用於:Mac OS X v10.3.9 和以上版本、Windows Vista/XP/2000
影響:開啟惡意製作的 QTIF 檔案,可能導致應用程式意外終止或得以執行任意程式碼。
說明:QuickTime 處理 QTIF 檔案時,出現堆積緩衝區溢位。攻擊者可透過引誘使用者存取惡意製作的 QTIF 檔案來觸發溢位,而可能導致應用程式意外終止或得以執行任意程式碼。此更新透過對 QTIF 檔案執行額外驗證來解決此問題。感謝與 iDefense Vulnerability Contributor Program 合作的 Ruben Santamarta,以及 JJ Reyes 回報此問題。
QuickTime
CVE-ID:CVE-2006-4965、CVE-2007-0059
適用於:Mac OS X v10.3.9 和以上版本、Windows Vista/XP/2000
影響:檢視惡意製作的 QuickTime 影片檔案或 QTL 檔案,可能導致任意 JavaScript 程式碼得以在本機網域之下執行。
說明:QuickTime 的瀏覽器外掛模組出現跨區域工序指令問題。攻擊者可透過引誘使用者開啟惡意的 QuickTime 影片檔案或 QTL 檔案觸發此問題,而可能導致任意 JavaScript 程式碼得以在本機網域之下執行。Month of Apple Bugs 網站(MOAB-03-01-2007)已說明此問題。此更新針對處理 QTL 檔案 qtnext 屬性中的 URL 和 QuickTime 影片中的 HREFTracks 進行下列變更,以解決此問題。如果影片是從遠端網站載入,則只能使用「http:」和「https:」URL。如果影片是在本機載入,則只能使用「file:」URL。
適用於 Mac 或 Windows 的 QuickTime 7.1.5 可以透過「軟體更新」取得,也可以手動從下列網址下載:https://www.apple.com/quicktime/download/。