Acerca del contenido de seguridad de QuickTime 7.4.5
Resumen
Este documento describe el contenido de seguridad de QuickTime 7.4.5.
Para la protección de nuestros clientes, Apple no revelará, debatirá ni confirmará problemas de seguridad hasta que se haya realizado una exhaustiva investigación y estén disponibles todas las versiones y actualizaciones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visite el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de la seguridad de los productos de Apple, consulte "How to use the Apple Product Security PGP Key".
Cuando es posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables para obtener más información.
Para obtener información sobre otras actualizaciones de seguridad, consulte "Actualizaciones de seguridad de Apple".
Productos afectados
QuickTime 7 (Windows), QuickTime 7 (OS X), Seguridad de los productos
QuickTime 7.4.5 QuickTime CVE-ID: CVE-2008-1013 Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5 o posterior, Windows Vista, XP SP2 Impacto: los applets Java que no sean de confianza pueden obtener privilegios de alto nivel Descripción: un problema de implementación de QuickTime en Java puede provocar la deserialización de objetos proporcionados por QTJava por parte de applets de Java que no sean de confianza. Si visita una página web que contenga un applet de Java creado con fines malintencionados, puede que se revele información confidencial o que se ejecute un código intruso con los privilegios del usuario actual. Esta actualización resuelve el problema desactivando la posibilidad de deserialización de objetos de QTJava por parte de applets de Java que no sean de confianza. Gracias a Adam Gowdiak por informar de este problema. QuickTime CVE-ID: CVE-2008-1014 Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5 o posterior, Windows Vista, XP SP2 Impacto: la descarga de un archivo de película puede revelar información. Descripción: en particular, las películas de QuickTime pueden abrir de forma automática las URL externas, lo que puede desembocar en la revelación de información. Esta actualización resuelve el problema mediante la mejora del control de las URL externas integradas en los archivos de película. Gracias a Jorge Escala de Open Tech Solutions, y a Vinoo Thomas y Rahul Mohandas de McAfee Avert Labs por informar de este problema. QuickTime CVE-ID: CVE-2008-1015 Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5 o posterior, Windows Vista, XP SP2 Impacto: la visualización de un archivo de película creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso. Descripción: un problema en el proceso de control de los átomos de referencia de datos por parte de QuickTime puede ocasionar un desbordamiento del búfer. La visualización de un archivo de película creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso. Esta actualización resuelve el problema realizando una validación adicional de los átomos de referencia de datos. Gracias a Chris Ries del Servicio de informática de la Universidad Carnegie Mellon por informar de este problema. QuickTime CVE-ID: CVE-2008-1016 Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5 o posterior, Windows Vista, XP SP2 Impacto: la visualización de un archivo de película creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso. Descripción: la memoria resulta dañada en el proceso de control de las pistas de los archivos de películas de QuickTime. La visualización de un archivo de película creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso. Esta actualización resuelve el problema mediante la mejora de la validación de las pistas de las películas. QuickTime CVE-ID: CVE-2008-1017 Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5 o posterior, Windows Vista, XP SP2 Impacto: la visualización de un archivo de película creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso. Descripción: un problema en el análisis de átomos 'crgn' puede provocar el desbordamiento de un búfer dinámico. La visualización de un archivo de película creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Gracias a Sanbin Li, colaborador de Zero Day Initiative de TippingPoint, por informar de este problema. QuickTime CVE-ID: CVE-2008-1018 Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5 o posterior, Windows Vista, XP SP2 Impacto: la visualización de un archivo de película creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso Descripción: un problema en el análisis de los átomos 'chan' de QuickTime puede resultar en el desbordamiento de un búfer dinámico. La visualización de un archivo de película creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Gracias a un investigador anónimo, colaborador de Zero Day Initiative de TippingPoint, por informar de este problema. QuickTime CVE-ID: CVE-2008-1019 Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5 o posterior, Windows Vista, XP SP2 Impacto: la apertura de un archivo de imagen PICT creado con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código intruso Descripción: un problema con el proceso de control de los registros PICT de QuickTime puede resultar en el desbordamiento de un búfer dinámico. La visualización de una imagen PICT creada con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Gracias al trabajo sin errores de Zero Day Initiative de TippingPoint por informar de este problema. QuickTime CVE-ID: CVE-2008-1020 Disponible para: Windows Vista, XP SP2 Impacto: la apertura de un archivo de imagen PICT creado con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código intruso Descripción: un problema con el control de los mensajes de error durante el procesamiento de imágenes PICT por parte de QuickTime puede ocasionar el desbordamiento de un búfer dinámico. La visualización de una imagen PICT creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código intruso. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Este problema no afecta a los sistemas Mac OS X. Gracias a Rubén Santamarta de Reversemode.com en colaboración con Zero Day Initiative de TippingPoint por informar de este problema. QuickTime CVE-ID: CVE-2008-1021 Disponible para: Windows Vista, XP SP2 Impacto: la visualización de un archivo de película creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso. Descripción: un problema en el control del contenido de códecs de animación puede ocasionar el desbordamiento de un búfer dinámico. La visualización de un archivo de película con contenido de códecs de animación creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Este problema no afecta a los sistemas Mac OS X. Gracias a un investigador anónimo, colaborador de Zero Day Initiative de TippingPoint, por informar de este problema. QuickTime CVE-ID: CVE-2008-1022 Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5 o posterior, Windows Vista, XP SP2 Impacto: la visualización de un archivo de película de QuickTime VR creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso Descripción: un problema con el análisis de átomos 'obji' de QuickTime puede ocasionar un desbordamiento de un búfer de pila. La visualización de un archivo de película de QuickTime VR creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código intruso. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Gracias a un investigador anónimo, colaborador de Zero Day Initiative de TippingPoint, por informar de este problema.