Vulnerability Bulletins |
Múltiples ejecuciones de código arbitrario en QuickTime |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
Mac OS X v10.3.9 Mac OS X v10.4.9 Mac OS X v10.5 Windows Vista Windows XP SP2 |
Description |
|
|
Se han encontrado múltiples ejecuciones de código arbitrario en QuickTime. Las vulnerabilidades son descritas a continuación. - CVE-2007-2395:Se ha encontrado una vulnerabilidad en QuickTime. La vulnerabilidad reside en una corrupción de memoria en la forma en que manipula los átomos descriptivos de una imagen. Un atacante remoto podría ejecutar código arbitrario y causar la terminación inesperada de la aplicación mediante un archivo de película especialmente diseñado. - CVE-2007-3750: Se ha encontrado una vulnerabilidad del tipo desbordamiento del heap en el reproductor QuickTime. La vulnerabilidad reside en la forma en que manipula los Sample Table Sample Descriptor atoms. Un atacante remoto podría ejecutar código arbitrario y causar la terminación inesperada de la aplicación mediante un archivo de película especialmente diseñado. - CVE-2007-3751: Se han encontrado múltiples vulnerabilidades en QuickTime para Java. Las vulnerabilidades residen al permitir que una applet de Java que no es de confianza obtenga más privilegios. Un atacante remoto podría ejecutar código arbitrario y mostrar información sensible mediante una applet de Java especialmente diseñada. - CVE-2007-4672: Se ha encontrado una vulnerabilidad del tipo desbordamiento de pila en QuickTime. La vulnerabilidad reside en un error en el procesado de imágenes PICT. Un atacante remoto podría ejecutar código arbitrario y causar una terminación inesperada de la aplicación mediante una imagen especialmente diseñada. - CVE-2007-4676: Se ha encontrado una vulnerabilidad del tipo desbordamiento del heap en QuickTime. La vulnerabilidad reside en un error en el procesado de imágenes PICT. Un atacante remoto podría ejecutar código arbitrario y causar una terminación inesperada de la aplicación mediante una imagen especialmente diseñada. - CVE-2007-4675: Se ha encontrado una vulnerabilidad del tipo desbordamiento del heap en QuickTime. La vulnerabilidad reside en la forma en que manipula los panorama sample atoms en los archivos QuickTime Virtual Reality. Un atacante remoto podría ejecutar código arbitrario y causar la terminación inesperada de la aplicación mediante un archivo QTVR especialmente diseñado. - CVE-2007-4677: Se ha encontrado una vulnerabilidad del tipo desbordamiento de heap en QuickTime. La vulnerabilidad reside en un error en el parseo del color table atom cuando se abre un archivo de película. Un atacante remoto podría ejecutar código arbitrario y causar la terminación inesperada de la aplicación mediante un archivo de película especialmente diseñado. |
|
Solution |
|
|
Actualización de software Apple QuickTime 7.3 (Leopard) http://www.apple.com/support/downloads/quicktime73forleopard.html QuickTime 7.3 (Tiger) http://www.apple.com/support/downloads/quicktime73fortiger.html QuickTime 7.3 (Panther) http://www.apple.com/support/downloads/quicktime73forpanther.html QuickTime 7.3 (Windows) http://www.apple.com/support/downloads/quicktime73forwindows.html |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2007-2395 CVE-2007-3750 CVE-2007-3751 CVE-2007-4672 CVE-2007-4676 CVE-2007-4675 CVE-2007-4677 |
| BID | |
Other resources |
|
|
Apple Security Update (306896) http://docs.info.apple.com/article.html?artnum=306896 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2007-11-07 |