2007年QuickTime安全漏洞回顾

日期: 2008-01-14 作者:TechTarget中国 来源:TechTarget中国

应用软件的安全性不容忽视,本文整理了苹果QuickTime2007年修补的安全漏洞,以便更全面地了解QuickTime的安全性。         2007年1月23日         苹果QuickTime软件发现了一个高危险等级的安全漏洞,可以导致Windows和Mac计算机用户受到恶意网站的攻击。一位不愿意透露姓名的苹果安全漏洞月(Month of Apple Bugs)的组织者“LMH”发现了这个安全漏洞。 这个安全漏洞影响到任何安装了QuickTi……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

应用软件的安全性不容忽视,本文整理了苹果QuickTime2007年修补的安全漏洞,以便更全面地了解QuickTime的安全性。

        2007年1月23日

        苹果QuickTime软件发现了一个高危险等级的安全漏洞,可以导致Windows和Mac计算机用户受到恶意网站的攻击。一位不愿意透露姓名的苹果安全漏洞月(Month of Apple Bugs)的组织者“LMH”发现了这个安全漏洞。 这个安全漏洞影响到任何安装了QuickTime播放器7.1.3版本的Windows或者Mac OS X操作系统,以前版本的QuickTime播放器也可能会受到影响。这个安全漏洞发生在 QuickTime 在处理 RTSP URL 时出现缓存器溢出问题。通过诱使用户访问恶意RTSP URL,攻击者能引发缓存器溢出问题,从而导致强制执行代码。

        2007年3月5日

        苹果一口气修补QuickTime的八个严重的安全漏洞。这些缺陷能够被用于创建恶意文件,可以使攻击者控制任何运行QuickTime软件的计算机,因此这些缺陷被评为高度严重的等级。这次最新的QuickTime 7.1.5软件的补丁能够在Macs 和 Windows系统中运行。

        QuickTime在处理3GP 视频文件、电影文件中的 UDTA atom和QTIF 文件时出现整数溢出问题;在处理 MIDI 文件、QuickTime 电影文件、PICT 文件和QTIF 文件时出现堆缓存器溢出问题。它可以引诱用户打开一部怀恶意的电影,攻击者能够触发溢出,导致应用软件崩溃或执行恶意代码,使攻击者控制用户的计算机。

        2007年5月1日

        苹果修补了在一项黑客比赛中被用来入侵MacBook Pro系统的QuickTime安全漏洞。该弱点位于QuickTime for Java,通过一个恶意网站,即可被攻击者用来控制执行Mac OS X和微软Windows系统的计算机。苹果指出,这可能会导致允许某些读写操作,而这些操作超越分配的堆的权限。通过诱使用户访问恶意制作的 Java applet,攻击者能引发此问题,从而可能导致强制执行代码。安全厂商Secunia将此漏洞列为次高的“高度危急”等级。QuickTime 7.1.6更新加入了额外的检查程序,解决这项问题。

        2007年5月29日

        苹果公布了一个 QuickTime 7.1.6 的重要安全更新,版本平台涉及 Mac OS X、Windows XP 以及 Windows 2000。两个重要漏洞都和 QuickTime for Java 有关。其中一个漏洞可能会导致允许将对象实例化或对其进行控制的行为,而这些操作超越分配的堆的权限。通过诱使用户访问恶意制作的 Java applet,攻击者能引发此问题,从而可能导致强制执行代码。另一漏洞可能会允许 Java applet 读取网络浏览器的内存。通过诱使用户访问恶意制作的 Java applet,攻击者能引发此问题,从而可能导致敏感信息被泄漏。

        2007年7月11日 

        苹果发布八个最新安全更新,这些漏洞可以通过浏览恶意制作的 H.264电影、电影文件、.m4v文件、SMIL文件或访问恶意网站引发程序意外中止运作,或强制执行代码,或导致敏感信息的泄漏,出现内存被破坏或整数溢出的问题。其中四个漏洞都和 QuickTime for Java 有关,这可能会造成安全性检查被禁止,使得 Java applet 规避安全性检查, JDirect 暴露那些可能允许载入强制程序库及释放强制内存的界面,或者会允许恶意网站能截取客户的屏幕内容。

        2007年10月3日 

        苹果发布在 QuickTime 处理QTL 文件的qtnext 字段中的 URL 时存在命令注入问题。通过诱使用户打开特殊制作的 QTL 文件,攻击者能引发应用程序被启动,且具有受控制的命令行值,从而可能会导致强制执行代码。。此问题并不影响 Mac OS X 系统。 

        2007年11月5日

        苹果发布了修补QuickTime 7.3版的七个安全漏洞。 其中的六个漏洞可以使攻击者在受害者的电脑上运行未经授权的软件。苹果公司相关技术人员表示,攻击者要做到这一点,必须首先引诱受害者在网页上观看恶意制作的动画或图像文件。 第七个缺陷在于QuickTime为Java提供的功能,该漏洞可以被用来获取机密资料或以很高的权限运行Java applets应用程序。這些漏洞分別存在于: 

  • 一个与处理Java程序有关,为了消除这个Java安全漏洞,苹果关闭了播放器中的“QuickTime for Java” 程序。攻击者会利用这个漏洞获得使用者的敏感资讯,或通过执行程序提升许可权。
  • 两个存在于QuickTime发送PICT图形的处理。
  • 一个存在於QuickTime处理QTVR(QuickTime虚拟现实)档的机制中。在引诱使用者观看恶意的QTVR影片文件后,攻击者可任意中段並执行任意程式码。
  • 三个存在于QuickTime媒体管理的部份。

        2007年12月13日

        苹果发布三款补丁。这次修补的漏洞之一是QuickTime在 处理 Real Time Streaming Protocol (RTSP) 标头时存在缓冲区溢出,另一个是在处理QTL 文件时存在堆缓冲区溢出。

        攻击者可能会诱使用户查看某个恶意制作的 RTSP 电影或QTL 文件,从而导致应用程序意外终止或任意代码运行。QuickTime 的 Flash 媒体处理程序中也存在多个漏洞,最严重的漏洞可能会导致任意代码执行。通过使用此更新,除现有已知为安全的有限数量 QuickTime 电影外,将会禁用 QuickTime 中的 Flash 媒体处理程序。

        具体安全更新信息,可参看苹果官方网站

作者

TechTarget中国
TechTarget中国

相关推荐