Apple QuickTime 7.4.5 corrige diez vulnerabilidades

Apple QuickTime 7.4.5 resuelve múltiples vulnerabilidades que pueden ser explotadas por un atacante para la ejecución remota de código, o para hacer que el programa deje de responder. Dos de ellas son exclusivas de sistemas Windows Vista y XP SP2.

Ocho de los diez problemas resueltos, permiten que la simple visualización de un archivo de video o una imagen creada maliciosamente, pueda ocasionar que la aplicación finalice abruptamente, o que se pueda ejecutar alguna clase de código de forma arbitraria.

Al menos uno de estos problemas tiene que ver con un débil control del contenido de códecs de animación, y solo afecta a sistemas Windows (Vista y XP SP2). Windows anteriores ya no son soportados.

Tres de estos ocho problemas están relacionados con el proceso de control de los átomos de referencia de datos por parte de QuickTime, y pueden provocar desbordamientos de búfer. Un “Atom” o átomo, es una información del tipo “cadena” o “entero”, a la que se le asigna un identificador (ID) único, el cual se emplea para acceder a dicha información.

Otro de los problemas se produce porque la memoria utilizada por el programa es dañada en el proceso de control de las pistas de los archivos de películas de QuickTime.

Dos problemas están relacionados con los archivos de imágenes .PICT. Uno de ellos se produce durante el proceso de control de los registros utilizados para abrir archivos con esta extensión, lo que puede provocar un desbordamiento de búfer.

El otro problema se debe a un débil control de los mensajes de error durante el procesamiento de imágenes PICT, lo que puede ocasionar el desbordamiento de un búfer dinámico. Este problema no afecta a los sistemas Mac OS X.

Es importante tener en cuenta que en todas las vulnerabilidades mencionadas hasta ahora, es posible la ejecución de código.

Otro de los problemas solucionados, tiene que ver con los applets de Java, y permite que aquellos applets que no sean de confianza puedan obtener privilegios de alto nivel.

Si se visita una página web que contenga un applet de Java creado con fines malintencionados, puede llegarse a revelar información confidencial, y en ciertas circunstancias, hasta ejecutarse un código intruso con los privilegios del usuario actual. La vulnerabilidad se debe a un error en la implementación de Java en QuickTime.

El único problema que parece no tener posibilidad de ejecución de código, pero si de revelar información crítica del usuario, se produce también durante la descarga de un archivo de película. En particular, las películas de QuickTime pueden abrir de forma automática las URL externas, lo que puede desembocar en la revelación de información.

Son vulnerables las versiones anteriores a la 7.4.5 disponibles para Windows Vista, Windows XP SP2, Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior y Mac OS X v10.5 o posterior.

Descargas:

Apple Downloads (Windows, etc.)
http://www.apple.com/support/downloads/

Instrucciones para descarga desde el programa (Mac OS X)
http://docs.info.apple.com/article.html?artnum=106704-es

Software afectado:

– Mac OS X v10.3.9
– Mac OS X v10.4.9 o posterior
– Mac OS X v10.5 o posterior
– Windows Vista
– Windows XP SP2

Referencias CVE:

Las vulnerabilidades corregidas están relacionadas con las siguientes referencias CVE:

CVE-2008-1013
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1013

CVE-2008-1014
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1014

CVE-2008-1015
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1015

CVE-2008-1016
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1016

CVE-2008-1017
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1017

CVE-2008-1018
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1018

CVE-2008-1019
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1019

CVE-2008-1020
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1020

CVE-2008-1021
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1021

CVE-2008-1022
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1022

via vsantivirus

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: