安全研究
安全漏洞
Apple QuickTime多个远程缓冲区溢出漏洞
发布日期:2007-03-05
更新日期:2007-03-06
受影响系统:
Apple QuickTime Player <= 7.1.4不受影响系统:
Apple QuickTime Player 7.1.5描述:
BUGTRAQ ID: 22827
CVE(CAN) ID: CVE-2007-0711,CVE-2007-0712,CVE-2007-0713,CVE-2007-0714,CVE-2007-0715,CVE-2007-0716,CVE-2007-0717,CVE-2007-0718
Apple QuickTime是一款流行的多媒体播放器,支持多种媒体格式。
QuickTime在处理各种媒体格式时存在多个缓冲区溢出漏洞,远程攻击者可能利用这些漏洞通过诱使用户打开处理畸形媒体文件控制用户机器。
具体条目如下:
QuickTime处理3GP视频文件时存在整数溢出。如果用户受骗打开了恶意的电影的话,就会触发这个溢出,导致拒绝服务或执行任意代码。(CVE-2007-0711)
QuickTime处理MIDI文件时存在堆溢出。如果用户受骗打开了恶意的MIDI文件的话,就会触发这个溢出,导致拒绝服务或执行任意代码。(CVE-2007-0712)
QuickTime处理QuickTime电影文件时存在堆溢出。如果用户受骗打开了恶意的电影的话,就会触发这个溢出,导致拒绝服务或执行任意代码。(CVE-2007-0713)
QuickTime处理电影文件中的UDTA属性时存在整数溢出。如果用户受骗打开了恶意的电影的话,就会触发这个溢出,导致拒绝服务或执行任意代码。(CVE-2007-0714)
QuickTime处理PICT文件时存在堆溢出。如果用户受骗打开了恶意的PICT文件的话,就会触发这个溢出,导致拒绝服务或执行任意代码。(CVE-2007-0715)
QuickTime处理QTIF文件时存在栈溢出。如果用户受骗打开了恶意的QTIF文件的话,就会触发这个溢出,导致拒绝服务或执行任意代码。(CVE-2007-0716)
QuickTime处理QTIF文件时存在整数溢出。如果用户受骗打开了恶意的QTIF文件的话,就会触发这个溢出,导致拒绝服务或执行任意代码。(CVE-2007-0717)
QuickTime处理视频媒体属性时存在堆溢出漏洞。如果Video Sample Description中Color table ID字段为0的话,QuickTime会预期在描述后出现颜色表格,然后无论是否存在该表格都会在描述后的内存执行字节交换过程。如果描述后的内存不属于正在处理堆块的话,就会导致堆破坏。(CVE-2007-0718)
<*来源:JJ Reyes
Mike Price
iotr Bania
Artur Ogloza
Piotr Bania (bania.piotr@gmail.com)
Sowhat (smaillist@gmail.com)
ZDI (http://www.zerodayinitiative.com/)
链接:http://docs.info.apple.com/article.html?artnum=305149
http://secunia.com/advisories/24359/
http://www.kb.cert.org/vuls/id/861817
http://marc.theaimsgroup.com/?l=bugtraq&m=117319933821772&w=2
http://marc.theaimsgroup.com/?l=bugtraq&m=117319756718293&w=2
http://www.kb.cert.org/vuls/id/313225
http://marc.theaimsgroup.com/?l=bugtraq&m=117320305417759&w=2
http://marc.theaimsgroup.com/?l=bugtraq&m=117329918004853&w=2
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=486
http://www.us-cert.gov/cas/techalerts/TA07-065A.html
*>
建议:
厂商补丁:
Apple
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.apple.com/quicktime/download/mac.html
http://www.apple.com/quicktime/download/win.html
浏览次数:3319
严重程度:0(网友投票)
绿盟科技给您安全的保障