QuickTime < 7.7 多個弱點 (Windows)
high Nessus Plugin ID 55764
語系:
概要
遠端 Windows 主機包含一個可能受到多個弱點影響的應用程式。說明
遠端 Windows 主機上安裝的 QuickTime 版本比 7.7 舊。因此,據稱其可能受到以下弱點影響:- 在 QuickTime 處理 pict 檔案時發生緩衝區溢位,可能導致應用程式損毀或執行任意程式碼。(CVE-2011-0245)
- 在 QuickTime 處理 JPEG2000 檔案時發生緩衝區溢位,可能導致應用程式損毀或執行任意程式碼。(CVE-2011-0186)
- 在 QuickTime 外掛程式處理跨網站重新導向時發生跨來源問題,可能會導致來自其他網站的視訊資料洩漏。(CVE-2011-0187)
- 在 QuickTime 處理 RIFF WAV 檔案時發生整數溢位,可能導致應用程式損毀或執行任意程式碼。(CVE-2011-0209)
- 在 QuickTime 處理 QuickTime 電影檔案中的範例表格時,發生記憶體損毀問題,可能導致應用程式損毀或執行任意程式碼。
(CVE-2011-0210)
- 在 QuickTime 處理電影檔案中的音訊通道時發生整數溢位,可能導致應用程式損毀或執行任意程式碼。(CVE-2011-0211)
- 在 QuickTime 處理 JPEG 檔案時發生緩衝區溢位,可能導致應用程式損毀或執行任意程式碼。(CVE-2011-0213)
- 在 QuickTime 處理 GIF 檔案時發生一個堆積型緩衝區溢位,可能導致應用程式損毀或執行任意程式碼。(CVE-2011-0246)
- 在 QuickTime 處理 H.264 編碼的電影檔案時發生多個堆疊型緩衝區溢位,可能導致應用程式損毀或執行任意程式碼。
(CVE-2011-0247)
- 在 QuickTime ActiveX 處理 QTL 檔案時發生一個堆疊型緩衝區溢位,可能導致應用程式損毀或執行任意程式碼。(CVE-2011-0248)
- 在 QuickTime 處理 QuickTime 電影檔案中的 STSC Atom 時,發生堆積型緩衝區溢位,可能導致應用程式損毀或執行任意程式碼。
(CVE-2011-0249)
- 在 QuickTime 處理 QuickTime 電影檔案中的 STSS Atom 時,發生堆積型緩衝區溢位,可能導致應用程式損毀或執行任意程式碼。
(CVE-2011-0250)
- 在 QuickTime 處理 QuickTime 電影檔案中的 STSZ Atom 時,發生堆積型緩衝區溢位,可能導致應用程式損毀或執行任意程式碼。
(CVE-2011-0251)
- 在 QuickTime 處理 QuickTime 電影檔案中的 STTS Atom 時,發生堆積型緩衝區溢位,可能導致應用程式損毀或執行任意程式碼。
(CVE-2011-0252)
- 在 QuickTime 處理 PICT 檔案時發生堆疊型緩衝區溢位,可能導致應用程式損毀或執行任意程式碼。(CVE-2011-0257)
- 在 QuickTime 處理 QuickTime 電影檔案中的追蹤執行 Atom 時發生整數溢位,可能導致應用程式損毀或執行任意程式碼。
(CVE-2011-0256)
- Quicktime 處理 mp4v 轉碼器資訊時發生記憶體損毀。(CVE-2011-0258)
解決方案
升級至 QuickTime 7.7 或更新版本。另請參閱
http://www.zerodayinitiative.com/advisories/ZDI-11-254/
https://www.zerodayinitiative.com/advisories/ZDI-11-255/
https://www.zerodayinitiative.com/advisories/ZDI-11-256/
http://www.zerodayinitiative.com/advisories/ZDI-11-257/
http://www.zerodayinitiative.com/advisories/ZDI-11-258/
http://www.zerodayinitiative.com/advisories/ZDI-11-259/
https://www.zerodayinitiative.com/advisories/ZDI-11-277/
http://support.apple.com/kb/HT4826
http://lists.apple.com/archives/security-announce/2011/Aug/msg00000.html
Plugin 詳細資訊
嚴重性: High
ID: 55764
檔案名稱: quicktime_77.nasl
版本: 1.24
類型: local
代理程式: windows
系列: Windows
已發布: 2011/8/4
已更新: 2018/11/15
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: High
分數: 8.9
CVSS v2
風險因素: High
基本分數: 9.3
時間分數: 8.1
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
弱點資訊
CPE: cpe:/a:apple:quicktime
必要的 KB 項目: SMB/QuickTime/Version
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2011/8/3
弱點發布日期: 2011/6/23
可惡意利用
CANVAS (White_Phosphorus)
Core Impact
Metasploit (Apple QuickTime PICT PnSize Buffer Overflow)
參考資訊
CVE: CVE-2011-0186, CVE-2011-0187, CVE-2011-0209, CVE-2011-0210, CVE-2011-0211, CVE-2011-0213, CVE-2011-0245, CVE-2011-0246, CVE-2011-0247, CVE-2011-0248, CVE-2011-0249, CVE-2011-0250, CVE-2011-0251, CVE-2011-0252, CVE-2011-0256, CVE-2011-0257, CVE-2011-0258
BID: 46992, 46995, 48419, 48420, 48430, 48442, 49028, 49029, 49030, 49031, 49034, 49035, 49036, 49038, 49144, 49170, 49396