:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
事件通告
分隔線
Apple QuickTime 被發現含有緩衝區溢位的漏洞,請勿開啟不明QTL 檔案避免受駭!(2007/11/29)
 
詳細描述:

Apple QuickTime 被發現處理到過長RTSP "Content-Type" 標頭時可能會產生緩衝區溢位的漏洞。由於Apple QuickTime 在處理含有過長Content-Type 標頭的惡意RTSP (Real Time Streaming Protocol) 回應命令時,會使系統發生錯誤,造成記憶體的堆疊(stack-based) 緩衝區溢位。若惡意人士利用這些弱點來製作惡意檔案,並引誘使用者去開啟惡意QTL 檔案,或去瀏覽惡意網頁,便能造成受駭系統發生記憶體緩衝區溢位的問題,導致惡意人士能夠在受駭系統上執行任意程式碼。

目前已確認Apple QuickTime 4.0 到7.3 版均會受到影響,且範圍涵蓋了Mac 與Windows 作業平台,已有公開的漏洞概念驗證碼可供利用。由於Apple 官方網站尚未提出相關修正檔案,中華電信SOC 在此建議使用者勿任意開啟不明QTL 檔案,或點選不明網頁連結,以免受駭!

參考資料:

 
 
下框