• Tweet

Multiples fallas de seguridad en el reproductor media de Apple Computer Quick Time podrían poner a un usuario en riesgo de ataques de ejecución de código, confirmo la compañía en un aviso el pasado jueves.

La vulnerabilidad catalogada como “altamente crítica,” podría dar a un hackers maliciosos un puerta abierta a tomar sistemas vulnerables o lanzar un ataque de negación de servicio.

El software afectado incluye Quick Time 6.x hasta 7.x. Apple recomienda que los usuarios de Quick Time actualicen su software a la versión 7.0.3 inmediatamente.

En todas las versiones afectadas, la actualización arregla 4 vulnerabilidades. La mas peligrosa se describe como un error al introducir un numero muy grande a un entero al momento de utilizar cadenas de tipo "Pascal" cuando se carga un archivo .mov. Puede resultar en sobrescribir la memoria al realizar la copia de una desmedida cantidad de datos a la misma, lo que permite la ejecución de código mediante una archivo especialmente diseñado.

Un segundo desbordamiento de error debido a un entero también existe en el manejo de ciertos atributos de videos, cuando se carga un archivo de video. Este puede resultar en sobrescribir la memoria y potencialmente la ejecución de código mediante un archivo de video falso.

La actualización también corrige un error de apuntador dereferencing NULL cuando se manejan determinados atributos de un video Quick Time. Esto puede ser explotado para terminar una aplicación que este utilizando Quick Time cuando un archivo de video malicioso sea cargado.

Las cuatro fallas están en un límite de error en el QuickTime PictureViewer cuando descomprimes datos PICT. Esto podría ser explotado para sobrescribir la memoria, lo cual permitiría la ejecución de código arbitrario mediante un archivo PICT especialmente diseñado.

Las vulnerabilidades fueron descubiertas y reportadas a Apple por una firma privada de investigación Piotr Bania.