Apple QuickTime contiene un buffer overflow en el manejo de URLs RTSP. Esto podría permitir a un atacante remoto ejecutar código arbitrario en un sistema vulnerable.
Apple QuickTime ejecutándose en sistemas:
Se debe hacer notar que Apple iTunes y otro software utilizando los componentes de QuickTime vulnerables también son afectados.
Existe una vulnerabilidad en la forma en como Apple QuickTime maneja cadenas URL del tipo RTSP (Real Time Streaming Protocol) creadas de forma maliciosa. Hoy en día existe código de exploit público que demuestra la forma en como al abrir un archivo .QTL se activa un buffer overflow. Sin embargo, se ha confirmado que existen otros vectores de ataque para la vulnerabilidad.
Los posibles vectores de ataques incluyen:
El US-CERT está dando seguimiento a éste problema como la Nota de Vulnerabilidad VU#442497. Este número de referencia corresponde al CVE-2007-0015.
Se debe hacer notar que esta vulnerabilidad afecta a QuickTime en Microsoft Windows y plataformas Apple Mac. Aunque las páginas Web pueden ser utilizadas como vectores de ataque, esta vulnerabilidad no depende de que sea empleado un navegador Web específico.
Convenciendo a un usuario para que abra un contenido de QuickTime creado de forma maliciosa, un atacante remoto no autenticado puede ejecutar código arbitrario en un sistema vulnerable.
Actualmente no se tiene una solución para este problema. Hasta que una solución llegue a estar disponible, se recomienda aplicar las soluciones temporales proporcionadas en la Nota de Vulnerabilidad VU#442497.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT