Se reportaron varias vulnerabilidades en QuickTime, que pueden explotarse para ocasionar una negación de servicio (DoS) y posiblemente comprometer el sistema de un usuario.
Apple QuickTime | < | 7.0.3 |
Piotr Bania reportó varias vulnerabilidades en QuickTime, que pueden explotarse por personas maliciosas para ocasionar una negación de servicio (DoS) y posiblemente comprometer el sistema de un usuario.
Existe un error de desbordamiento de variable en el manejo de una cadena de estilo "Pascal" cuando carga un archivo de video ".mov". Esto podría sobrescribir la memoria al hacerse una copia muy grande de memoria, permitiendo la ejecución de código arbitrario via un archivo de video malicioso.
Existe un error de desbordamiento de variable en el manejo de ciertos atributos de una pelicula cuando se carga un archivo de video ".mov". Esto podría sobrescribir la memoria al hacerse una copia muy grande de memoria, permitiendo la ejecución de código arbitrario via un archivo de video malicioso.
Existe un error al tratar de accesar la memoria indicada por un apuntador NULL cuando se manejan ciertos atributos faltantes de un archivo de video. Esto podría explotarse para tirar una aplicación que utilice QuickTime cuando carga un archivo de video malicioso.
Existe un error en el control de los límites de memoria en el PictureViewer de Quicktime cuando descomprime datos PICT. Esto podría explotarse para sobrescribir la memoria, y ejecutar código arbitrario via una imagen PICT maliciosa.
Las vulnerabilidades fueron reportadas en las siguientes versiones:
* QuickTime version 6.5.2 y 7.0.1 para Mac OS X. * QuickTime versiones anteriores a 7.0.3 para Windows.
Otras versiones también podrían ser afectadas.
Negación de servicio (DoS).
Acceso al sistema.
Actualizar a la versión 7.0.3.
http://www.apple.com/support/downloads/quicktime703.html
Mayor información.
Apple
http://docs.info.apple.com/article.html-artnum=302772
Piort Bania:
http://pb.specialised.info/all/adv/quicktime-mov-io1-adv.txt
http://pb.specialised.info/all/adv/quicktime-mov-io2-adv.txt
http://pb.specialised.info/all/adv/quicktime-mov-dos-adv.txt
http://pb.specialised.info/all/adv/quicktime-pict-adv.txt
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT