Apple QuickTime多个远程安全漏洞

BUGTRAQ ID: 28583
CVE(CAN) ID: CVE-2008-1013,CVE-2008-1014,CVE-2008-1015,CVE-2008-1016,CVE-2008-1017,CVE-2008-1018,CVE-2008-1019,CVE-2008-1020,CVE-2008-1021,CVE-2008-1022,CVE-2008-1023

Apple QuickTime是一款非常流行的多媒体播放器。

QuickTime的7.4.5之前版本存在多个安全漏洞，允许用户通过畸形的媒体文件获得敏感信息或完全入侵用户系统。

CVE-2008-1013

QuickTime实现Java方式中的漏洞允许不可信任的Java applet还原序列化QTJava所提供的对象。如果用户受骗访问了包含有恶意Java applet的网页的话，就可能导致泄露敏感信息或以当前用户的权限执行任意代码。

CVE-2008-1014

特制的QuickTime电影可能自动打开外部URL，导致信息泄露。

CVE-2008-1015

QuickTime处理数据引用原子的方式可能触发缓冲区溢出，如果用户观看了恶意的电影文件就会导致播放器意外终止或执行任意代码。

CVE-2008-1016

QuickTime处理电影媒体音轨时存在内存破坏漏洞，如果用户观看了恶意的电影文件就会导致播放器意外终止或执行任意代码。

CVE-2008-1017

QuickTime解析crgn原子时存在堆溢出漏洞，如果用户观看了恶意的电影文件就会导致播放器意外终止或执行任意代码。

CVE-2008-1018

QuickTime解析chan原子时存在堆溢出漏洞，如果用户观看了恶意的电影文件就会导致播放器意外终止或执行任意代码。

CVE-2008-1019

QuickTime处理PICT记录时存在堆溢出漏洞，如果用户查看了特制的PICT图形文件就会导致播放器意外终止或执行任意代码。

CVE-2008-1020

QuickTime在PICT图形处理期间处理错误消息的方式存在堆溢出漏洞，如果用户查看了特制的PICT图形文件就会导致播放器意外终止或执行任意代码。

CVE-2008-1021

QuickTime处理Animation codec内容可能导致堆溢出，如果用户观看了带有Animation codec内容的恶意电影文件的话，就会导致播放器意外终止或执行任意代码。

CVE-2008-1022

QuickTime解析obji原子的方式存在栈溢出漏洞。如果用户查看了特制的QuickTime VR电影文件的话，就会导致播放器意外终止或执行任意代码。

CVE-2008-1023

QuickTime解析Clip opcode可能导致堆溢出漏洞，如果用户查看了特制的PICT图形文件就会导致播放器意外终止或执行任意代码。

Apple QuickTime Player <= 7.4.1
Apple

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

<a href=“http://www.apple.com” target=“_blank”>http://www.apple.com</a>