发布日期：2008-06-10

更新日期：2008-06-10

受影响系统：

Apple QuickTime Player < 7.5

描述：

----------------------------------------------------------------------------

BUGTRAQ ID: 29619

CVE(CAN) ID: CVE-2008-1581,CVE-2008-1582,CVE-2008-1583,CVE-2008-1584,CVE-2008-1585

Apple QuickTime是一款非常流行的多媒体播放器。

QuickTime的7.5之前版本存在多个安全漏洞，允许用户通过畸形的媒体文件获得敏感信息或完全入侵用户系统。

CVE-2008-1581

QuickTime在处理PICT图形中的PixData结构时存在堆溢出漏洞，如果用户受骗打开了恶意的PICT图形的话就会导致播放器终止或执行任意指令。

CVE-2008-1582

QuickTime处理AAC编码的媒体内存时存在内存破坏漏洞，如果用户受骗打开了恶意的媒体文件的话就会导致播放器终止或执行任意指令。

CVE-2008-1583

QuickTime处理PICT图形时存在堆溢出漏洞，如果用户受骗打开了恶意的PICT图形的话就会导致播放器终止或执行任意代码。

CVE-2008-1584

QuickTime处理Indeo音频codec内容时存在栈溢出，如果用户查看的电影文件中包含有Indeo音频codec内容的话会导致播放器终止或执行任意指令。

CVE-2008-1585

QuickTime没有正确的处理file: URL，当用户在播放器中播放恶意的QuickTime内容时可能会启动任意应用程序和文件。

<*来源：Dyon Balding

Dave Soldera

Rahul Mohandas

链接：http://support.apple.com/kb/HT1991

http://secunia.com/advisories/29293/

http://secunia.com/secunia_research/2008-9/advisory/

*>

建议：

----------------------------------------------------------------------------

厂商补丁：

Apple

-----

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.apple.com