pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#1 Apple QuickTime多个漏洞 严重
来源
secunia.com
软件名
Apple QuickTime 7.x
描述
1)处理图形信息时的一个错误可在用户被骗打开一个特定的视频文件时导致内存崩溃
2)处理Sample Table Sample Descriptor(STSD) atoms时的一个越界访问错误可在用户打开特定的视频文件时导致堆缓冲溢出
3)QuickTime的Java程序中的多个错误可由不可信java applet导致泄漏敏感信息或在用户访问包含恶意java applet的web页面时执行扩大权限的任意代码
4)处理PICT图形文件时的一个越界访问错误可在用户打开特定包含无效长度"UncompressedQuickTimeData" opcode的PICT图形文件时导致堆栈缓冲溢出
5)处理QTVR (QuickTime Virtual Reality)视频文件中的panorama sample atom时的越界访问错误可在用户被骗打开特定视频文件来导致堆缓冲溢出
6)转换Poly type opcodes (opcodes 0x0070-74)和 PackBitsRgn field (Opcode 0x0099)时的错误可在用户打开特定的PICT图形文件时导致堆崩溃
7)转换CTAB atom时的一个错误可在用户打开包含无效颜色表的视频文件时导致堆缓冲溢出
溢出成功后可执行任意代码
该漏洞在V7.3之前的版本已经涉及
6个与图形或者视频文件格式有关的安全漏洞能够让攻击者用来欺骗用户打开恶意文件。第3个与Java有关的安全漏洞能够被用来让用户访问包含恶意程序的网站。苹果称,如果攻击者拥有目标Mac或者Windows计算机的访问权限,利用那个安全漏洞可以在用户计算机上远程执行代码。
QuickTime用户可用Mac OS X系统内置的软件升级功能进行升级。Windows XP和Vista用户可在苹果网站下载QuickTime 7.3或者用于Windows的升级工具的早期版本
解决方案
升级到V7.3
QuickTime 7.3 for Leopard:
http://www.apple.com/support/downloads/quicktime73forleopard.html
QuickTime 7.3 for Tiger:
http://www.apple.com/support/downloads/quicktime73fortiger.html
QuickTime 7.3 for Panther:
http://www.apple.com/support/downloads/quicktime73forpanther.html
QuickTime 7.3 for Windows:
http://www.apple.com/support/downloads/quicktime73forwindows.html
[ Last edited by pioneer on 2007-11-7 at 15:48 ]
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
