Miembros de
Boletines de Vulnerabilidades |
Múltiples ejecuciones de código arbitrario en QuickTime |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Comercial Software |
| Software afectado |
Mac OS X v10.3.9 Mac OS X v10.4.9 Mac OS X v10.5 Windows Vista Windows XP SP2 |
Descripción |
|
|
Se han encontrado múltiples ejecuciones de código arbitrario en QuickTime. Las vulnerabilidades son descritas a continuación. - CVE-2007-2395:Se ha encontrado una vulnerabilidad en QuickTime. La vulnerabilidad reside en una corrupción de memoria en la forma en que manipula los átomos descriptivos de una imagen. Un atacante remoto podría ejecutar código arbitrario y causar la terminación inesperada de la aplicación mediante un archivo de película especialmente diseñado. - CVE-2007-3750: Se ha encontrado una vulnerabilidad del tipo desbordamiento del heap en el reproductor QuickTime. La vulnerabilidad reside en la forma en que manipula los Sample Table Sample Descriptor atoms. Un atacante remoto podría ejecutar código arbitrario y causar la terminación inesperada de la aplicación mediante un archivo de película especialmente diseñado. - CVE-2007-3751: Se han encontrado múltiples vulnerabilidades en QuickTime para Java. Las vulnerabilidades residen al permitir que una applet de Java que no es de confianza obtenga más privilegios. Un atacante remoto podría ejecutar código arbitrario y mostrar información sensible mediante una applet de Java especialmente diseñada. - CVE-2007-4672: Se ha encontrado una vulnerabilidad del tipo desbordamiento de pila en QuickTime. La vulnerabilidad reside en un error en el procesado de imágenes PICT. Un atacante remoto podría ejecutar código arbitrario y causar una terminación inesperada de la aplicación mediante una imagen especialmente diseñada. - CVE-2007-4676: Se ha encontrado una vulnerabilidad del tipo desbordamiento del heap en QuickTime. La vulnerabilidad reside en un error en el procesado de imágenes PICT. Un atacante remoto podría ejecutar código arbitrario y causar una terminación inesperada de la aplicación mediante una imagen especialmente diseñada. - CVE-2007-4675: Se ha encontrado una vulnerabilidad del tipo desbordamiento del heap en QuickTime. La vulnerabilidad reside en la forma en que manipula los panorama sample atoms en los archivos QuickTime Virtual Reality. Un atacante remoto podría ejecutar código arbitrario y causar la terminación inesperada de la aplicación mediante un archivo QTVR especialmente diseñado. - CVE-2007-4677: Se ha encontrado una vulnerabilidad del tipo desbordamiento de heap en QuickTime. La vulnerabilidad reside en un error en el parseo del color table atom cuando se abre un archivo de película. Un atacante remoto podría ejecutar código arbitrario y causar la terminación inesperada de la aplicación mediante un archivo de película especialmente diseñado. |
|
Solución |
|
|
Actualización de software Apple QuickTime 7.3 (Leopard) http://www.apple.com/support/downloads/quicktime73forleopard.html QuickTime 7.3 (Tiger) http://www.apple.com/support/downloads/quicktime73fortiger.html QuickTime 7.3 (Panther) http://www.apple.com/support/downloads/quicktime73forpanther.html QuickTime 7.3 (Windows) http://www.apple.com/support/downloads/quicktime73forwindows.html |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2007-2395 CVE-2007-3750 CVE-2007-3751 CVE-2007-4672 CVE-2007-4676 CVE-2007-4675 CVE-2007-4677 |
| BID | |
Recursos adicionales |
|
|
Apple Security Update (306896) http://docs.info.apple.com/article.html?artnum=306896 |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2007-11-07 |