Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

DoS y posible ejecución de código en Quicktime/iTunes
 
VSantivirus No. 1992 Año 9, jueves 22 de diciembre de 2005

 DoS y posible ejecución de código en Quicktime/iTunes
http://www.vsantivirus.com/vul-quicktime-201205.htm

Por Angela Ruiz
angela@videosoft.net.uy

NOTA: Sustituye vul-quicktime-141205.htm

Cómo se reportó en VSantivirus No. 1986 el viernes 16 de diciembre de 2005 (Posible ejecución remota de código en Apple Quicktime, http://www.vsantivirus.com/vul-quicktime-141205.htm), existe una vulnerabilidad en Apple Quicktime, el popular reproductor capaz de reproducir video, sonido, gráficos y otros contenidos multimedia. La vulnerabilidad afecta también a iTunes 6.x (iTunes es la aplicación creada por Apple para reproducir, organizar y comprar música en Internet). Actualmente iTunes suele instalarse junto a Quicktime.

Se ha publicado en Internet más información sobre este problema, para el cuál aún no existe una solución oficial.

Un usuario remoto puede aprovecharse de esta vulnerabilidad para provocar que el programa deje de responder, y posiblemente llegar a ejecutar código de forma arbitraria en el sistema afectado. Esto último sin embargo no ha sido demostrado al momento de esta alerta.

El problema se debe a un desbordamiento de búfer con posibilidad de sobrescribir la memoria heap (la memoria dinámica utilizada por los programas), cuando se intenta reproducir un archivo .MOV modificado maliciosamente.

Se vuelve a publicar esta alerta con información ampliada, debido a la existencia en Internet de pruebas de concepto que demuestran el fallo.


Soluciones:

No existen soluciones oficiales al momento de la publicación de esta alerta. Se recomienda no abrir archivos .MOV con las aplicaciones afectadas, que hayan sido descargados de fuentes no confirmadas como seguras.

El vendedor ha sido notificado.


Software afectado:

- Apple Quicktime 7.0.3 (MacOS y Windows)
- iTunes 6.0.1.3 (MacOS y Windows)

Versiones anteriores también son afectadas.


Más información:

Apple QuickTime 7.0.3 & iTunes 6.0.1 Heap Overflow
http://security-protocols.com/advisory/sp-x21-advisory.txt

Apple QuickTime / iTunes Memory Corruption Vulnerability
http://secunia.com/advisories/18149/

Apple QuickTime Unspecified Heap Overflow May Let Remote Users Execute Arbitrary Code 
http://securitytracker.com/alerts/2005/Dec/1015356.html

Posible ejecución remota de código en Apple Quicktime
http://www.vsantivirus.com/vul-quicktime-141205

Apple Quicktime
http://www.apple.com/quicktime/

Apple iTunes
http://www.apple.com/itunes


Créditos:

Juha-Matti Laurio <juha-matti.laurio@netti.fi>
Tom Ferris (aka badpack3t, Security-Protocols.com)






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS