Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Apple Quicktime |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado | Quicktime <= 7.1.5 |
Descripción |
|
Se han encontrado múltiples vulnerabilidades en Apple Quicktime. Las vulnerabilidades son descritas a continuación. - CVE-2007-2295: Se ha encontrado una vulnerabilidad del tipo desbordamiento de búfer en Apple Quicktime 7.1.5. La vulnerabilidad reside en un error en la función JVTCompEncodeFrame. Un atacante remoto podría ejecutar código arbitrario mediante un archivo MOV especialmente diseñado. - CVE-2007-2392: Se ha encontrado una vulnerabilidad en Apple Quicktime. La vulnerabilidad reside en un error no especificado en el manejo de archivos de películas. Un atacante remoto podría ejecutar código arbitrario mediante una corrupción de memoria causada con un archivo de vídeo especialmente diseñado. - CVE-2007-2296: Se ha encontrado una vulnerabilidad del tipo desbordamiento de entero en Apple Quicktime en las versiones anteriores a la 7.1.5 incluyendo la misma. La vulnerabilidad reside en un error en la función FlipFileTypeAtom_BtoN. Un atacante remoto podría ejecutar código arbitrario mediante un archivo MP4 especialmente diseñado. - CVE-2007-2394: Se ha encontrado una vulnerabilidad del tipo desbordamiento de entero en Apple Quicktime. La vulnerabilidad reside en un error en el manejo de los campos "author" y "title" cuando parsea archivos SMIL. Un atacante remoto podría ejecutar código arbitrario mediante un archivo SMIL especialmente diseñado. - CVE-2007-2397: Se ha encontrado una vulnerabilidad en Apple Quicktime para Java. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría ejecutar código arbitrario mediante desactivar las comprobaciones de seguridad a través de un applet de Java especialmente diseñado. - CVE-2007-2393: Se ha encontrado una vulnerabilidad en Apple Quicktime para Java. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría ejecutar código arbitrario mediante saltarse las comprobaciones de seguridad y conseguir leer y escribir en la memoria del proceso a través de un applet Java especialmente diseñado. - CVE-2007-2396: Se ha encontrado una vulnerabilidad en Apple Quicktime para Java. La vulnerabilidad reside en que Jdirect expone interfaces que podrían permitir cargar librerías y liberar memoría de forma arbitraria. Un atacante remoto podría ejecutar código arbitrario mediante un applet Java especialmente diseñado. - CVE-2007-2402: Se ha encontrado una vulnerabilidad en Quicktime para Java. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría leer información sensible mediante la captura del contenido de la pantalla del usuario con un applet Java especialmente diseñado. |
|
Solución |
|
Actualización de software Apple QuickTime 7.2 (Mac) http://www.apple.com/support/downloads/quicktime72formac.html QuickTime 7.2 (Windows) http://www.apple.com/support/downloads/quicktime72forwindows.html |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2007-2295 CVE-2007-2392 CVE-2007-2296 CVE-2007-2394 CVE-2007-2397 CVE-2007-2393 CVE-2007-2396 CVE-2007-2402 |
BID |
23650 23652 |
Recursos adicionales |
|
Apple Security Update (305947) http://docs.info.apple.com/article.html?artnum=305947 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2007-07-16 |