int(2102)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Apple Quicktime

Clasificación de la vulnerabilidad
Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema
Propiedad Valor
Fabricante afectado Comercial Software
Software afectado Quicktime < 7.0.4

Descripción
Se han descubierto múltiples vulnerabilidades en Quicktime versiones anteriores a la 7.0.4. Las vulnerabilidades son descritas a continuación:

- CVE-2005-2340: La vulnerabilidad reside en un desbordamiento de búfer en zona de heap al manejar imágenes QTIF. Un atacante remoto podría ejecutar código arbitrario mediante una imagen QTIF especialmente diseñada.

- CVE-2005-3707, CVE-2005-3708, CVE-2005-3709: Las vulnerabilidades residen en un desbordamiento de búfer y un desbordamiento de entero al manejar imágenes TGA. Un atacante remoto podría causar una denegación de servicio o ejecutar código arbitrario mediante una imagen TGA especialmente diseñada.

- CVE-2005-3710, CVE-2005-3711: La vulnerabilidad reside en un desbordamiento de entero al manejar imágenes TIFF. Un atacante remoto podría causar una denegación de servicio o ejecutar código arbitrario mediante una imagen TIFF especialmente diseñada.

- CVE-2005-3713: La vulnerabilidad reside en un desbordamiento de búfer en zona de heap al manejar imágenes GIF. Un atacante remoto podría ejecutar código arbitrario mediante una imagen GIF especialmente diseñada.

- CVE-2005-4092: La vulnerabilidad reside en un desbordamiento de búfer en zona de heap al manejar ficheros de medios. Un atacante remoto podría ejecutar código arbitrario mediante un fichero de medios especialmente diseñado.

Solución


Actualización de software

Apple
QuickTime 7.0.4
http://www.apple.com/support/downloads/quicktime704.html

Identificadores estándar
Propiedad Valor
CVE CVE-2005-2340
CVE-2005-3707
CVE-2005-3708
CVE-2005-3709
CVE-2005-3710
CVE-2005-3711
CVE-2005-3713
CVE-2005-4092
BID

Recursos adicionales
Apple Security Update (QuickTime 7.0.4)
http://docs.info.apple.com/article.html?artnum=303101

Histórico de versiones
Versión Comentario Fecha
1.0 Aviso emitido 2006-01-12

Miembros de

CERT
FIRST
TF-CSIRT
EGC Group
UE
Red Nacional de SOC
Foro Nacional de Ciberseguridad
CSIRT.es
Ministerio de Defensa
CNI
CCN
CCN-CERT