1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-524 Múltiples vulnerabilidades en QuickTime de Apple.

Se reportaron varias vulnerabilidades en QuickTime, que pueden explotarse para ocasionar una negación de servicio (DoS) y posiblemente comprometer el sistema de un usuario.

  • Fecha de Liberación: 4-Nov-2005
  • Ultima Revisión: 4-Nov-2005
  • Fuente: Piotr Bania
  • CVE ID: CAN-2005-2753 CAN-2005-2754 CAN-2005-2755 CAN-2005-2756
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Buffer overflow

Sistemas Afectados

Apple QuickTime 7.0.3
  1. Descripción

    Piotr Bania reportó varias vulnerabilidades en QuickTime, que pueden explotarse por personas maliciosas para ocasionar una negación de servicio (DoS) y posiblemente comprometer el sistema de un usuario.

    1. Existe un error de desbordamiento de variable en el manejo de una cadena de estilo "Pascal" cuando carga un archivo de video ".mov". Esto podría sobrescribir la memoria al hacerse una copia muy grande de memoria, permitiendo la ejecución de código arbitrario via un archivo de video malicioso.

    2. Existe un error de desbordamiento de variable en el manejo de ciertos atributos de una pelicula cuando se carga un archivo de video ".mov". Esto podría sobrescribir la memoria al hacerse una copia muy grande de memoria, permitiendo la ejecución de código arbitrario via un archivo de video malicioso.

    3. Existe un error al tratar de accesar la memoria indicada por un apuntador NULL cuando se manejan ciertos atributos faltantes de un archivo de video. Esto podría explotarse para tirar una aplicación que utilice QuickTime cuando carga un archivo de video malicioso.

    4. Existe un error en el control de los límites de memoria en el PictureViewer de Quicktime cuando descomprime datos PICT. Esto podría explotarse para sobrescribir la memoria, y ejecutar código arbitrario via una imagen PICT maliciosa.

    Las vulnerabilidades fueron reportadas en las siguientes versiones:

    * QuickTime version 6.5.2 y 7.0.1 para Mac OS X.
    * QuickTime versiones anteriores a 7.0.3 para Windows.
    

    Otras versiones también podrían ser afectadas.

  2. Impacto

    Negación de servicio (DoS).

    Acceso al sistema.

  3. Solución

    Actualizar a la versión 7.0.3.
    http://www.apple.com/support/downloads/quicktime703.html

  4. Apéndices

    Mayor información.

    Apple
    http://docs.info.apple.com/article.html?artnum=302772

    Piort Bania:
    http://pb.specialised.info/all/adv/quicktime-mov-io1-adv.txt
    http://pb.specialised.info/all/adv/quicktime-mov-io2-adv.txt
    http://pb.specialised.info/all/adv/quicktime-mov-dos-adv.txt
    http://pb.specialised.info/all/adv/quicktime-pict-adv.txt

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT