Acerca del contenido de seguridad de QuickTime 7.3.1

En este documento, se describe el contenido de seguridad de QuickTime 7.3.1, que se puede descargar e instalar a través de las preferencias de Actualización de software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información sobre otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.

QuickTime 7.3.1

QuickTime

Identificador de CVE: CVE-2007-6166

Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5 o posterior, Windows Vista, XP SP2

Impacto: la visualización de un archivo de película creado con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

Descripción: existe un desbordamiento de búfer en el manejo de QuickTime de los encabezados del protocolo de transmisión en tiempo real (RTSP). Al persuadir a un usuario para que vea una película de RTSP creada con fines malintencionados, un atacante puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. En esta actualización, se soluciona el problema al garantizar que el búfer de destino tenga el tamaño adecuado para contener los datos.

QuickTime

Identificador de CVE: CVE-2007-4706

Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5 o posterior, Windows Vista, XP SP2

Impacto: ver un archivo de QTL creado con fines malintencionados puede provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: existe un desbordamiento de búfer de pila en el manejo de archivos de QTL por parte de QuickTime. Al persuadir a un usuario para que vea un archivo de QTL creado con fines malintencionados, un atacante puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una mejora en la comprobación de límites.

QuickTime

Identificador de CVE: CVE-2007-4707

Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5 o posterior, Windows Vista, XP SP2

Impacto: varias vulnerabilidades en el controlador multimedia Flash de QuickTime

Descripción: existen varias vulnerabilidades en el controlador multimedia Flash de QuickTime y la más grave de las ellas puede provocar la ejecución de código arbitrario. Con esta actualización, el controlador multimedia Flash de QuickTime está desactivado, excepto para una cantidad limitada de películas de QuickTime existentes que se sabe que son seguras. Agradecemos a Tom Ferris del equipo de ingeniería de software seguro de Adobe (ACTIVO), Mike Price de McAfee Avert Labs, los investigadores de seguridad Lionel d'Hauenens y Brian Mariani de Syseclabs, y un investigador anónimo que trabaja con Zero Day Initiative de TippingPoint por informar sobre este problema.