Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad en QuickTime mediante Java
 
VSantivirus No 2435 Año 11, miércoles 2 de mayo de 2007

 Vulnerabilidad en QuickTime mediante Java
http://www.vsantivirus.com/vul-quicktime-230407.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

QuickTime es propenso a una vulnerabilidad que puede facilitar un ataque remoto a un equipo vulnerable.

El problema se produce en un equipo con QuickTime instalado, cuando se utiliza un navegador con Java habilitado para visualizar un sitio web malicioso.

Los detalles específicos no han sido publicados. Sin embargo, se conoce que la vulnerabilidad es explotable tanto en Windows como en Mac OS, usando Mozilla Firefox y Safari.

Un exploit ha sido creado para demostrar esta vulnerabilidad, como parte del desafío lanzado hace apenas unos días por TippingPoint, una empresa perteneciente a 3Com.


Solución:

Actualizarse a Apple QuickTime Player 7.1.6 o superior.

Windows 2000 o XP
http://www.apple.com/quicktime/download/win.html

Mac OS X v10.3.9 o posterior
http://www.apple.com/quicktime/download/mac.html


Software vulnerable:

- Apple QuickTime Player 7.1.5 y anteriores
- Apple QuickTime Player 6.x
- Apple QuickTime Player 5.x


Sistemas operativos vulnerables:

- Apple Mac OS 9.x
- Apple Mac OS X 10.x
- Microsoft Windows 2000
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows 98SE
- Microsoft Windows ME
- Microsoft Windows NT


Referencias CVE:

Las vulnerabilidades corregidas están relacionadas con las siguientes referencias CVE:

CVE-2007-2175
Apple QuickTime Java extensions (QTJava.dll)
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2175

CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.


Relacionados:

Mac pierde la apuesta y el exploit afecta a Windows
http://www.vsantivirus.com/24-04-07.htm


Más información:

Apple Quicktime Unspecified Java Handling Arbitrary Code Execution Vulnerability
http://www.securityfocus.com/bid/23608/info

BREAKING: MacBook Vuln In Quicktime, Affects Win32 Apple Code
http://www.matasano.com/log/812/breaking-macbook-vuln-in-quicktime-affects-win32-apple-code/

Hot Off The Matasano SMS Queue: CanSec Macbook Challenge Won
http://www.matasano.com/log/806/hot-off-the-matasano-sms-queue-cansec-macbook-challenge-won/


Créditos:

Dino Dai Zovi
Shane Macaulay


Publicado anteriormente:

VSantivirus No 2429 Año 11, martes 24 de abril de 2007



[Última modificación: 04/05/07 04:18 -0200]




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS