QuickTime < 7.7.3 多种漏洞 (Windows)
high Nessus 插件 ID 62890
语言:
简介
远程 Windows 主机包含可能受到多种漏洞影响的应用程序。描述
远程 Windows 主机上安装的 QuickTime 版本低于 7.7.3,因此据报告其受到以下问题的影响:- 对 PICT 文件中的 REGION 记录的处理中存在一个缓冲区溢出。(CVE-2011-1374)
- 对 PICT 文件的处理中存在一个内存损坏问题。(CVE-2012-3757)
- QuickTime 插件对 HTML object 元素内的“_qtactivex_”参数的处理中存在一个释放后使用问题。(CVE-2012-3751)
- 对 TeXML 文件中 text3GTrack 元素中的 transform 属性的处理中存在一个缓冲区溢出。(CVE-2012-3758)
- 对 TeXML 文件中的 style 元素的处理中存在多种缓冲区溢出。(CVE-2012-3752)
- 对 MIME 类型的处理中存在一个缓冲区溢出。
(CVE-2012-3753)
- QuickTime ActiveX 控件对“Clear()”方法的处理中存在一个释放后使用问题。(CVE-2012-3754)
- 对 Targa 图像文件的处理中存在一个缓冲区溢出。(CVE-2012-3755)
- 对 MP4 文件中的“rnet”框的处理中存在一个缓冲区溢出。(CVE-2012-3756)
成功利用这些问题可能导致程序终止或执行任意代码,具体受限于用户的权限。
解决方案
升级到 QuickTime 7.7.3 或更高版本。另见
https://support.apple.com/en-us/HT202648
https://lists.apple.com/archives/security-announce/2012/Nov/msg00002.html
https://www.securityfocus.com/archive/1/524662/30/0/threaded
插件详情
严重性: High
ID: 62890
文件名: quicktime_773.nasl
版本: 1.18
类型: local
代理: windows
系列: Windows
发布时间: 2012/11/12
最近更新时间: 2019/12/4
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.4
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 8.1
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
漏洞信息
CPE: cpe:/a:apple:quicktime
必需的 KB 项: SMB/QuickTime/Version
可利用: true
易利用性: Exploits are available
补丁发布日期: 2012/11/7
漏洞发布日期: 2012/11/7
可利用的方式
Core Impact
Metasploit (Apple QuickTime 7.7.2 MIME Type Buffer Overflow)
参考资料信息
CVE: CVE-2011-1374, CVE-2012-3751, CVE-2012-3752, CVE-2012-3753, CVE-2012-3754, CVE-2012-3755, CVE-2012-3756, CVE-2012-3757, CVE-2012-3758
BID: 56557, 56551, 56552, 56549, 56550, 56553, 56556, 56563, 56564
APPLE-SA: APPLE-SA-2012-11-07-1