Apple QuickTime多个远程缓冲区溢出漏洞

Apple QuickTime是一款流行的多媒体播放器，支持多种媒体格式。 QuickTime在处理各种媒体格式时存在多个缓冲区溢出漏洞，远程攻击者可能利用这些漏洞通过诱使用户打开处理畸形媒体文件控制用户机器。 具体条目如下： QuickTime处理3GP视频文件时存在整数溢出。如果用户受骗打开了恶意的电影的话，就会触发这个溢出，导致拒绝服务或执行任意代码。（CVE-2007-0711） QuickTime处理MIDI文件时存在堆溢出。如果用户受骗打开了恶意的MIDI文件的话，就会触发这个溢出，导致拒绝服务或执行任意代码。（CVE-2007-0712） QuickTime处理QuickTime电影文件时存在堆溢出。如果用户受骗打开了恶意的电影的话，就会触发这个溢出，导致拒绝服务或执行任意代码。（CVE-2007-0713） QuickTime处理电影文件中的UDTA属性时存在整数溢出。如果用户受骗打开了恶意的电影的话，就会触发这个溢出，导致拒绝服务或执行任意代码。（CVE-2007-0714） QuickTime处理PICT文件时存在堆溢出。如果用户受骗打开了恶意的PICT文件的话，就会触发这个溢出，导致拒绝服务或执行任意代码。（CVE-2007-0715） QuickTime处理QTIF文件时存在栈溢出。如果用户受骗打开了恶意的QTIF文件的话，就会触发这个溢出，导致拒绝服务或执行任意代码。（CVE-2007-0716） QuickTime处理QTIF文件时存在整数溢出。如果用户受骗打开了恶意的QTIF文件的话，就会触发这个溢出，导致拒绝服务或执行任意代码。（CVE-2007-0717） QuickTime处理视频媒体属性时存在堆溢出漏洞。如果Video Sample Description中Color table ID字段为0的话，QuickTime会预期在描述后出现颜色表格，然后无论是否存在该表格都会在描述后的内存执行字节交换过程。如果描述后的内存不属于正在处理堆块的话，就会导致堆破坏。（CVE-2007-0718） Apple QuickTime Player &lt;= 7.1.4 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://www.apple.com/quicktime/download/mac.html" target="_blank">http://www.apple.com/quicktime/download/mac.html</a> <a href="http://www.apple.com/quicktime/download/win.html" target="_blank">http://www.apple.com/quicktime/download/win.html</a>