安全研究
安全漏洞
Apple QuickTime多个远程安全漏洞
发布日期:2008-04-03
更新日期:2008-04-07
受影响系统:
Apple QuickTime Player <= 7.4.1不受影响系统:
Apple QuickTime Player 7.4.5描述:
BUGTRAQ ID: 28583
CVE(CAN) ID: CVE-2008-1013,CVE-2008-1014,CVE-2008-1015,CVE-2008-1016,CVE-2008-1017,CVE-2008-1018,CVE-2008-1019,CVE-2008-1020,CVE-2008-1021,CVE-2008-1022,CVE-2008-1023
Apple QuickTime是一款非常流行的多媒体播放器。
QuickTime的7.4.5之前版本存在多个安全漏洞,允许用户通过畸形的媒体文件获得敏感信息或完全入侵用户系统。
CVE-2008-1013
QuickTime实现Java方式中的漏洞允许不可信任的Java applet还原序列化QTJava所提供的对象。如果用户受骗访问了包含有恶意Java applet的网页的话,就可能导致泄露敏感信息或以当前用户的权限执行任意代码。
CVE-2008-1014
特制的QuickTime电影可能自动打开外部URL,导致信息泄露。
CVE-2008-1015
QuickTime处理数据引用原子的方式可能触发缓冲区溢出,如果用户观看了恶意的电影文件就会导致播放器意外终止或执行任意代码。
CVE-2008-1016
QuickTime处理电影媒体音轨时存在内存破坏漏洞,如果用户观看了恶意的电影文件就会导致播放器意外终止或执行任意代码。
CVE-2008-1017
QuickTime解析crgn原子时存在堆溢出漏洞,如果用户观看了恶意的电影文件就会导致播放器意外终止或执行任意代码。
CVE-2008-1018
QuickTime解析chan原子时存在堆溢出漏洞,如果用户观看了恶意的电影文件就会导致播放器意外终止或执行任意代码。
CVE-2008-1019
QuickTime处理PICT记录时存在堆溢出漏洞,如果用户查看了特制的PICT图形文件就会导致播放器意外终止或执行任意代码。
CVE-2008-1020
QuickTime在PICT图形处理期间处理错误消息的方式存在堆溢出漏洞,如果用户查看了特制的PICT图形文件就会导致播放器意外终止或执行任意代码。
CVE-2008-1021
QuickTime处理Animation codec内容可能导致堆溢出,如果用户观看了带有Animation codec内容的恶意电影文件的话,就会导致播放器意外终止或执行任意代码。
CVE-2008-1022
QuickTime解析obji原子的方式存在栈溢出漏洞。如果用户查看了特制的QuickTime VR电影文件的话,就会导致播放器意外终止或执行任意代码。
CVE-2008-1023
QuickTime解析Clip opcode可能导致堆溢出漏洞,如果用户查看了特制的PICT图形文件就会导致播放器意外终止或执行任意代码。
<*来源:Adam Gowdiak (zupa@man.poznan.pl)
Jorge Escala
Rahul Mohandas
Chris Ries
Wei Wang (wei_wang@mcafee.com)
链接:http://secunia.com/advisories/29650/
http://support.apple.com/kb/HT1241
http://marc.info/?l=bugtraq&m=120732549028200&w=2
http://marc.info/?l=bugtraq&m=120732384024881&w=2
http://marc.info/?l=bugtraq&m=120732752632694&w=2
http://marc.info/?l=bugtraq&m=120732455126402&w=2
http://marc.info/?l=bugtraq&m=120732491127191&w=2
http://marc.info/?l=bugtraq&m=120732365424523&w=2
http://support.apple.com/kb/HT2304
http://www.us-cert.gov/cas/techalerts/TA08-094A.html
*>
建议:
厂商补丁:
Apple
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.apple.com
浏览次数:2450
严重程度:0(网友投票)
绿盟科技给您安全的保障