登录  免费注册
当前位置:首页 > 安全公告 > 正文

Apple发布QuickTime7.7.1版本,修复之前版本存在的安全漏洞

2011-11-24 17:07:51


安全公告编号:CNTA-2011-0034



公告描述:


苹果公司于本月26日在其官方网站发布了1项安全更新,修复了适用于Windows 7, Vista,XP SP2或更高版本平台下的QuickTime播放器7.7.1之前版本存在的12个安全漏洞。利用上述漏洞,攻击者可通过构造畸型文件诱使用户解析、构造恶意网页或构造注入攻击脚本发起本地、相邻网络或远程攻击,使应用程序或主机操作系统面临拒绝服务、信息泄露或取得控制权限等威胁。CNVD提醒Quicktime用户采取以下措施进行防范:

(1)尽快升级Apple QuickTime至7.7.1版本(下载链接:http://support.apple.com/kb/DL837);

(2)避免打开来历不明的邮件或链接;同时安装安全防护软件,防范外部攻击威胁。

下表所示为苹果公司安全公告对应漏洞详情(排序不分先后),更多情况请参阅Apple官方网站。

 

CNVD编号
漏洞描述
漏洞危害
综合评级
CNVD-2011-07719
Apple QuickTime处理H.264编码的电影文件时存在缓冲区溢出问题,攻击者可构建恶意电影文件,诱使用户解析,使应用程序意外终止或执行任意代码。
程序意外终止或任意代码执行
CNVD-2011-08179
Apple QuickTime处理电影文件中原子层次结构时存在实现问题,攻击者构建恶意电影文件,诱使用户解析,使应用程序意外终止或执行任意代码。
程序意外终止或任意代码执行
CNVD-2011-07807
Apple QuickTime处理FlashPix文件时存在缓冲区溢出问题,攻击者可构建特制的FLashPix文件,使未明的应用程序终意外终止或执行任意代码。
程序意外终止或任意代码执行
CNVD-2011-08169
Apple QuickTime处理PICT文件时存在一个整数溢出问题,攻击者可构建恶意PICT文件,诱使用户解析,使应用程序意外终止或执行任意代码。
程序意外终止或任意代码执行
CNVD-2011-08172
Apple QuickTime处理嵌入到电影文件中的字体表时存在符号问题,攻击者可构建恶意电影文件,诱使用户解析,使应用程序意外终止或执行任意代码。
程序意外终止或任意代码执行
CNVD-2011-08173
Apple QuickTime处理FLC编码的电影文件时存在缓冲区溢出问题,攻击者可构建恶意电影文件,诱使用户解析,使应用程序意外终止或执行任意代码。
程序意外终止或任意代码执行
CNVD-2011-08171
Apple QuickTime处理JPEG2000编码电影文件时存在一个整数溢出问题,攻击者可建恶意电影文件,诱使用户解析,使应用程序意外终止或执行任意代码。
程序意外终止或任意代码执行
CNVD-2011-08174
Apple QuickTime处理电影文件中的TKHD原子时存在内存破坏问题,攻击者可构建恶意电影文件,诱使用户解析,使应用程序意外终止或任意代码执行。
应用程序意外终止或任意代码执行
CNVD-2011-08177
Apple QuickTime处理电影文件中URL数据处理器时存在未初始化内存访问问题,攻击者可构建恶意电影文件,使内存信息泄露。
内存信息泄露
CNVD-2011-08170
Apple QuickTime处理FLIC文件时存在一个缓冲区溢出问题,攻击者可构建恶意FLIC文件,诱使用户解析,使应用程序意外终止或执行任意代码。
程序意外终止或任意代码执行
CNVD-2011-08175
Apple QuickTime处理电影文件时存在多个内存破坏问题,攻击者可构建恶意电影文件,诱使用户解析,使应用程序意外终止或执行任意代码。
程序意外终止或任意代码执行
CNVD-2011-08180
Apple QuickTime的"Save for Web"导出存在跨站脚本问题,此功能生成模版HTML文件时引用未加密源的脚本文件,如果用户本地查看模版文件,在特权网络位置的攻击者可向本地域注入恶意脚本。
注入攻击


发布日期:2011-10-31 18:47:21




参考信息:

http://support.apple.com/kb/HT5016
 



信息提供者:

Apple
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论