>
Apple QuickTime 'mp4v'解码器信息处理任意代码执行漏洞
Apple QuickTime 'mp4v'解码器信息处理任意代码执行漏洞
| CNNVD-ID编号 | CNNVD-201108-522 | CVE编号 | CVE-2011-0258 |
| 发布时间 | 2011-09-01 | 更新时间 | 2011-09-07 |
| 漏洞类型 | 缓冲区溢出 | 漏洞来源 | N/A |
| 危险等级 | 超危 | 威胁类型 | 远程 |
| 厂商 | apple | ||
漏洞介绍
Apple QuickTime是美国苹果(Apple)公司开发的一款多媒体播放软件。该软件能够处理数字视频、媒体段落等多种资源。
Apple QuickTime 7.7之前版本在处理“mp4v”解码器信息时存在缓冲区溢出漏洞。当解析视频描述表时,会读取“mp4v”标签先前的大小字段并使用该大小去创建存储数据的配置,随后复制正确的数据量到缓冲区,然而在未检查大小的固定缓冲区部分上做了一些字节存储次序的改变。远程攻击者可利用该漏洞导致内存破坏,在当前用户上下文中执行任意代码。
漏洞补丁
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://support.apple.com/kb/HT4826
参考网址
来源: zerodayinitiative.com
链接:http://zerodayinitiative.com/advisories/ZDI-11-277/
来源: XF
名称: quicktime-mp4v-bo(69518)
链接:http://xforce.iss.net/xforce/xfdb/69518
来源: BUGTRAQ
名称: 20110831 ZDI-11-277: Apple QuickTime 3g2 'mp4v' atom size Remote Code Execution Vulnerability
链接:http://www.securityfocus.com/archive/1/archive/1/519483/100/0/threaded
受影响实体
Apple Quicktime:3.0 Apple Quicktime:4.1.2 Apple Quicktime:5.0 Apple Quicktime:5.0.1 Apple Quicktime:5.0.2信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201108-522
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论