Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Apple QuickTime 7.4.5 corrige diez vulnerabilidades
 
VSantivirus No 2680 Año 11, viernes 4 de abril de 2008

 Apple QuickTime 7.4.5 corrige diez vulnerabilidades
http://www.vsantivirus.com/quicktime-745-030408.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Apple QuickTime 7.4.5 resuelve múltiples vulnerabilidades que pueden ser explotadas por un atacante para la ejecución remota de código, o para hacer que el programa deje de responder. Dos de ellas son exclusivas de sistemas Windows Vista y XP SP2.

Ocho de los diez problemas resueltos, permiten que la simple visualización de un archivo de video o una imagen creada maliciosamente, pueda ocasionar que la aplicación finalice abruptamente, o que se pueda ejecutar alguna clase de código de forma arbitraria.

Al menos uno de estos problemas tiene que ver con un débil control del contenido de códecs de animación, y solo afecta a sistemas Windows (Vista y XP SP2). Windows anteriores ya no son soportados.

Tres de estos ocho problemas están relacionados con el proceso de control de los átomos de referencia de datos por parte de QuickTime, y pueden provocar desbordamientos de búfer. Un "Atom" o átomo, es una información del tipo "cadena" o "entero", a la que se le asigna un identificador (ID) único, el cual se emplea para acceder a dicha información.

Otro de los problemas se produce porque la memoria utilizada por el programa es dañada en el proceso de control de las pistas de los archivos de películas de QuickTime.

Dos problemas están relacionados con los archivos de imágenes .PICT. Uno de ellos se produce durante el proceso de control de los registros utilizados para abrir archivos con esta extensión, lo que puede provocar un desbordamiento de búfer.

El otro problema se debe a un débil control de los mensajes de error durante el procesamiento de imágenes PICT, lo que puede ocasionar el desbordamiento de un búfer dinámico. Este problema no afecta a los sistemas Mac OS X.

Es importante tener en cuenta que en todas las vulnerabilidades mencionadas hasta ahora, es posible la ejecución de código.

Otro de los problemas solucionados, tiene que ver con los applets de Java, y permite que aquellos applets que no sean de confianza puedan obtener privilegios de alto nivel.

Si se visita una página web que contenga un applet de Java creado con fines malintencionados, puede llegarse a revelar información confidencial, y en ciertas circunstancias, hasta ejecutarse un código intruso con los privilegios del usuario actual. La vulnerabilidad se debe a un error en la implementación de Java en QuickTime.

El único problema que parece no tener posibilidad de ejecución de código, pero si de revelar información crítica del usuario, se produce también durante la descarga de un archivo de película. En particular, las películas de QuickTime pueden abrir de forma automática las URL externas, lo que puede desembocar en la revelación de información.

Son vulnerables las versiones anteriores a la 7.4.5 disponibles para Windows Vista, Windows XP SP2, Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior y Mac OS X v10.5 o posterior.


Descargas:

Apple Downloads (Windows, etc.)
http://www.apple.com/support/downloads/

Instrucciones para descarga desde el programa (Mac OS X)
http://docs.info.apple.com/article.html?artnum=106704-es


Software afectado:

- Mac OS X v10.3.9
- Mac OS X v10.4.9 o posterior
- Mac OS X v10.5 o posterior
- Windows Vista
- Windows XP SP2


Referencias CVE:

Las vulnerabilidades corregidas están relacionadas con las siguientes referencias CVE:

CVE-2008-1013
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1013

CVE-2008-1014
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1014

CVE-2008-1015
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1015

CVE-2008-1016
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1016

CVE-2008-1017
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1017

CVE-2008-1018
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1018

CVE-2008-1019
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1019

CVE-2008-1020
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1020

CVE-2008-1021
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1021

CVE-2008-1022
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1022









(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2008 Video Soft BBS