Apple publicó QuickTime 7.5, el cuál soluciona al menos 5 vulnerabilidades conocidas en este reproductor. Una de ellas es la anunciada hace unas semanas, que puede permitir a un atacante utilizar un archivo .MOV modificado maliciosamente para tomar el control completo de un equipo con Windows XP o Vista totalmente actualizados.
Al menos una de las vulnerabilidades corregidas, afecta solamente a sistemas Windows Vista y XP con Service Pack 2 instalado (no se menciona SP3 en las alertas de Apple).
La vulnerabilidad permite que un atacante maneje maliciosamente una imagen PICT para que se produzca un desbordamiento de búfer, lo que puede dar como resultado que la aplicación se cierre abruptamente o incluso que se pueda provocar la ejecución de código no deseado en el mismo entorno del usuario que inició sesión en Windows. Los sistemas Mac no son afectados.
Sin embargo, existe otra vulnerabilidad relacionada con archivos PICT, que también es solucionada por la nueva versión, que afecta a todos los sistemas Windows y Mac.
Otra vulnerabilidad corregida puede producir la corrupción de la memoria utilizada por el programa cuando se procesan contenidos codificados en formato AAC (Advanced Audio Coding), un estándar diseñado para reemplazar al MP3. También puede provocar el fallo de la aplicación, o la ejecución de código.
Una película que utilice códecs Indeo (un códec de video doméstico creado por Intel), puede provocar el desbordamiento de búfer, dando lugar a la ejecución de código, o a que el programa se congele. Esta vulnerabilidad es corregida también en QuickTime 4.5 y afecta a todos los sistemas.
Finalmente, QuickTime 4.5 también soluciona la vulnerabilidad anunciada hace unas semanas por el investigador Petko D. Petkov, que permite la ejecución arbitraria de código mediante la gestión maliciosa de archivos (por ejemplo un archivo .MOV puede lanzar la ejecución de un programa en el sistema, sin advertencia previa para el usuario).
Son vulnerables todas las versiones anteriores a la 7.5 disponibles para Windows Vista, Windows XP SP2, Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior y Mac OS X v10.5 o posterior.
Descargas:
Apple Downloads (Windows, etc.)
http://www.apple.com/support/downloads/Instrucciones para descarga desde el programa (Mac OS X)
http://docs.info.apple.com/article.html?artnum=106704-esSoftware afectado:
- Mac OS X v10.3.9
- Mac OS X v10.4.9 o posterior
- Mac OS X v10.5 o posterior
- Windows Vista
- Windows XP SP2
Referencias CVE:
Las vulnerabilidades corregidas están relacionadas con las siguientes referencias CVE:
CVE-2008-1581
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1581CVE-2008-1582
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1582CVE-2008-1583
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1583CVE-2008-1584
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1584CVE-2008-1585
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1585-VSAntivirus-
Tema: Lo que el nuevo Apple QuickTime 7.5 (Leído 1125 veces)
Páginas: [1]
!! ADVERTENCIAS !!: Las informaciones aquí publicadas NO CONTIENEN KEYS para la decodificación de ningún sistema: NO SON OPERATIVOS en sistemas SAT que precisen de su correspondiente suscripción. ESTA TOTALMENTE PROHIBIDO EL USO DE ESTAS INFORMACIONES PARA LA MODIFICACIÓN O DEFRAUDACIÓN DE SISTEMAS DE ACCESO CONDICIONAL. EN ESTOS FOROS NO SE PERMITE LA PUBLICACIÓN DE INFORMACIONES ILEGALES POR PARTE DE LOS USUARIOS. EN CASO DE DETECTARSE ESTE TIPO DE INFORMACIONES, LOS USUARIOS SERÁN EXCLUIDOS DE ESTAS PÁGINAS.