int(2898)

Boletines de Vulnerabilidades


Ejecución de código a través de Apple QuickTime

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Probable
Impacto Obtener acceso
Dificultad Principiante
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado UNIX
Software afectado Apple QuickTime 7.1.3

Descripción

Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer en Apple QuickTime 7.1.3. La vulnerabilidad reside en un error cuando maneja ciertos argumentos src.

Un atacante remoto podría ejecutar código arbitrario mediante una dirección URI del protocolo rtsp:// (Protocolo de Streaming en Tiempo Real) con un argumento src muy largo.

Existe un exploit público disponible.

Solución



Actualización de software

De momento, no existe parche oficial para esta vulnerabilidad. Recomendamos visitar periódicamente la web del proveedor:
http://www.apple.com/support/downloads/

Apple
QuickTime 7.1.3 / Mac OS X v10.3.9
QuickTime 7.1.3 / Mac OS X Server v10.3.9
QuickTime 7.1.3 / Mac OS X v10.4.8,
QuickTime 7.1.3 / Mac OS X Server v10.4.8
http://www.apple.com/support/downloads/securityupdate2007001universal.html
http://www.apple.com/support/downloads/securityupdate2007001panther.html

Identificadores estándar

Propiedad Valor
CVE CVE-2007-0015
BID 21829

Recursos adicionales

Month of Apple Bugs (MOAB-01-01-2007)
http://projects.info-pull.com/moab/MOAB-01-01-2007.html

Apple Security Update (2007-001)
http://docs.info.apple.com/article.html?artnum=304989

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2007-01-02
1.1 Aviso emitido por Apple (2007-001) 2007-01-24

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT