dunanea
Residente
Por Angela Ruiz
[email protected]
Una actualización de QuickTime (QuickTime 7.3.1), corrige al menos tres vulnerabilidades, incluyendo una recientemente reportada que está siendo explotada en la red. Son afectadas todas las versiones, tanto para Windows como para MacOS, el sistema operativo de MacIntosh.
Según la descripción de Apple, dos de las vulnerabilidades provocan desbordamientos de búfer relacionados con el manejo de ciertos archivos multimedia.
Uno de los problemas está relacionado con la visualización de archivos RTSP (Real Time Streaming Protocol). Este protocolo es utilizado para realizar streaming, técnica de transmisión unidireccional de contenidos de video y audio a través de Internet.
El otro, permite que un atacante que convenza a un usuario para que visualice un archivo .QTL, pueda provocar el fallo del programa, o incluso la ejecución de código de forma arbitraria.
La tercera corrección se refiere en realidad a "múltiples vulnerabilidades" en la reproducción de archivos multimedia en Flash. La más grave de ellas, permite la ejecución remota de código con solo visualizar un video malicioso.
La actualización, deshabilita el manejo de películas en Flash, a excepción de un número limitado de éstas, que se saben son seguras.
La solución de deshabilitar capacidades como forma de proteger al usuario, no parece algo nuevo para Apple. Ya en una actualización anterior (la 7.3), QuickTime había restringido el uso de applets de Java para impedir que código no certificado pudiera tener acceso al programa.
Descargas:
Apple Downloads (Windows, etc.)
Apple - Support - Downloads
Instrucciones para descarga desde el programa (Mac OS X)
Mac OS X: Actualización del software
Software afectado:
- Mac OS X v10.3.9
- Mac OS X v10.4.9 o posterior
- Mac OS X v10.5
- Windows Vista
- Windows XP SP2
Referencias:
CVE-2007-6166 (Common Vulnerabilities and Exposures project)
CVE - CVE-2007-6166 (under review)
National Vulnerability Database (CVE-2007-6166)
CVE-2007-4706 (Common Vulnerabilities and Exposures project)
CVE - CVE-2007-4706 (under review)
National Vulnerability Database (CVE-2007-4706)
CVE-2007-4707 (Common Vulnerabilities and Exposures project)
CVE - CVE-2007-4707 (under review)
National Vulnerability Database (CVE-2007-4707)
CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.
Más información:
About the security content of QuickTime 7.3.1
About the security content of QuickTime 7.3.1
Relacionados:
Error de QuickTime explotado activamente en Internet
Error de QuickTime explotado activamente en Internet
(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus
[email protected]
Una actualización de QuickTime (QuickTime 7.3.1), corrige al menos tres vulnerabilidades, incluyendo una recientemente reportada que está siendo explotada en la red. Son afectadas todas las versiones, tanto para Windows como para MacOS, el sistema operativo de MacIntosh.
Según la descripción de Apple, dos de las vulnerabilidades provocan desbordamientos de búfer relacionados con el manejo de ciertos archivos multimedia.
Uno de los problemas está relacionado con la visualización de archivos RTSP (Real Time Streaming Protocol). Este protocolo es utilizado para realizar streaming, técnica de transmisión unidireccional de contenidos de video y audio a través de Internet.
El otro, permite que un atacante que convenza a un usuario para que visualice un archivo .QTL, pueda provocar el fallo del programa, o incluso la ejecución de código de forma arbitraria.
La tercera corrección se refiere en realidad a "múltiples vulnerabilidades" en la reproducción de archivos multimedia en Flash. La más grave de ellas, permite la ejecución remota de código con solo visualizar un video malicioso.
La actualización, deshabilita el manejo de películas en Flash, a excepción de un número limitado de éstas, que se saben son seguras.
La solución de deshabilitar capacidades como forma de proteger al usuario, no parece algo nuevo para Apple. Ya en una actualización anterior (la 7.3), QuickTime había restringido el uso de applets de Java para impedir que código no certificado pudiera tener acceso al programa.
Descargas:
Apple Downloads (Windows, etc.)
Apple - Support - Downloads
Instrucciones para descarga desde el programa (Mac OS X)
Mac OS X: Actualización del software
Software afectado:
- Mac OS X v10.3.9
- Mac OS X v10.4.9 o posterior
- Mac OS X v10.5
- Windows Vista
- Windows XP SP2
Referencias:
CVE-2007-6166 (Common Vulnerabilities and Exposures project)
CVE - CVE-2007-6166 (under review)
National Vulnerability Database (CVE-2007-6166)
CVE-2007-4706 (Common Vulnerabilities and Exposures project)
CVE - CVE-2007-4706 (under review)
National Vulnerability Database (CVE-2007-4706)
CVE-2007-4707 (Common Vulnerabilities and Exposures project)
CVE - CVE-2007-4707 (under review)
National Vulnerability Database (CVE-2007-4707)
CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.
Más información:
About the security content of QuickTime 7.3.1
About the security content of QuickTime 7.3.1
Relacionados:
Error de QuickTime explotado activamente en Internet
Error de QuickTime explotado activamente en Internet
(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus