Miembros de
Boletines de Vulnerabilidades |
Desbordamiento de búfer en Apple QuickTime |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Principiante |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Comercial Software |
| Software afectado | Apple QuickTime <= 7.3.1.70 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer en Apple QuickTime 7.3.1.70 y anteriores. La vulnerabilidad reside en un error de comprobación de los límites en las respuestas HTTP cuando se activan los túneles “RTSP”. Un atacante remoto podría causar una denegación de servicio (cerrar la aplicación) o ejecutar código arbitrario mediante una página web especialmente diseñada o mediante un fichero “QTL” especialmente diseñado con una respuesta "Reason-Phrase" larga. Existe un exploit público disponible. |
|
Solución |
|
|
Actualización de software Apple QuickTime 7.4.1 / Windows http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=17326&cat=1&platform=osx&method=sa/QuickTimeInstaller.exe QuickTime 7.4.1 / Mac OS X 10.3.9 http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=17325&cat=1&platform=osx&method=sa/QuickTime741_Panther.dm QuickTime 7.4.1 / Mac OS X 10.4.9 http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=17324&cat=1&platform=osx&method=sa/QuickTime741_Tiger.dmg QuickTime 7.4.1 / Mac OS X 10.5 http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=17323&cat=1&platform=osx&method=sa/QuickTime741_Leopard.dmg |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2008-0234 |
| BID | 27225 |
Recursos adicionales |
|
|
Apple Security Update (307407) http://docs.info.apple.com/article.html?artnum=307407 |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2008-02-07 |