Vulnerability Bulletins |
Múltiples vulnerabilidades en Apple Quicktime |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software | Quicktime <= 7.1.5 |
Description |
|
|
Se han encontrado múltiples vulnerabilidades en Apple Quicktime. Las vulnerabilidades son descritas a continuación. - CVE-2007-2295: Se ha encontrado una vulnerabilidad del tipo desbordamiento de búfer en Apple Quicktime 7.1.5. La vulnerabilidad reside en un error en la función JVTCompEncodeFrame. Un atacante remoto podría ejecutar código arbitrario mediante un archivo MOV especialmente diseñado. - CVE-2007-2392: Se ha encontrado una vulnerabilidad en Apple Quicktime. La vulnerabilidad reside en un error no especificado en el manejo de archivos de películas. Un atacante remoto podría ejecutar código arbitrario mediante una corrupción de memoria causada con un archivo de vídeo especialmente diseñado. - CVE-2007-2296: Se ha encontrado una vulnerabilidad del tipo desbordamiento de entero en Apple Quicktime en las versiones anteriores a la 7.1.5 incluyendo la misma. La vulnerabilidad reside en un error en la función FlipFileTypeAtom_BtoN. Un atacante remoto podría ejecutar código arbitrario mediante un archivo MP4 especialmente diseñado. - CVE-2007-2394: Se ha encontrado una vulnerabilidad del tipo desbordamiento de entero en Apple Quicktime. La vulnerabilidad reside en un error en el manejo de los campos "author" y "title" cuando parsea archivos SMIL. Un atacante remoto podría ejecutar código arbitrario mediante un archivo SMIL especialmente diseñado. - CVE-2007-2397: Se ha encontrado una vulnerabilidad en Apple Quicktime para Java. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría ejecutar código arbitrario mediante desactivar las comprobaciones de seguridad a través de un applet de Java especialmente diseñado. - CVE-2007-2393: Se ha encontrado una vulnerabilidad en Apple Quicktime para Java. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría ejecutar código arbitrario mediante saltarse las comprobaciones de seguridad y conseguir leer y escribir en la memoria del proceso a través de un applet Java especialmente diseñado. - CVE-2007-2396: Se ha encontrado una vulnerabilidad en Apple Quicktime para Java. La vulnerabilidad reside en que Jdirect expone interfaces que podrían permitir cargar librerías y liberar memoría de forma arbitraria. Un atacante remoto podría ejecutar código arbitrario mediante un applet Java especialmente diseñado. - CVE-2007-2402: Se ha encontrado una vulnerabilidad en Quicktime para Java. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría leer información sensible mediante la captura del contenido de la pantalla del usuario con un applet Java especialmente diseñado. |
|
Solution |
|
|
Actualización de software Apple QuickTime 7.2 (Mac) http://www.apple.com/support/downloads/quicktime72formac.html QuickTime 7.2 (Windows) http://www.apple.com/support/downloads/quicktime72forwindows.html |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2007-2295 CVE-2007-2392 CVE-2007-2296 CVE-2007-2394 CVE-2007-2397 CVE-2007-2393 CVE-2007-2396 CVE-2007-2402 |
| BID |
23650 23652 |
Other resources |
|
|
Apple Security Update (305947) http://docs.info.apple.com/article.html?artnum=305947 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2007-07-16 |