Acerca del contenido de seguridad de QuickTime 7.1.5
En este documento, se describe el contenido de seguridad de QuickTime 7.1.5.
En este documento, se describe el contenido de seguridad de QuickTime 7.1.5, que se puede descargar e instalar a través de las preferencias de Actualización de software o desde aquí.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.
Actualización de QuickTime 7.1.5
QuickTime
ID CVE: CVE-2007-0711
Disponible para Windows Vista/XP/2000
Impacto: La visualización de un archivo 3GP creado con fines malintencionados podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento de enteros en el manejo de archivos de video 3GP por parte de QuickTime. Al incitar a un usuario a abrir un video creado con fines malintencionados, un atacante podía provocar el desbordamiento, lo que podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario. En esta actualización, se realizó una validación adicional de los archivos de video 3GP para solucionar el problema. Este problema no afecta a Mac OS X. Queremos darle las gracias a JJ Reyes por informar este problema.
QuickTime
ID CVE: CVE-2007-0712
Disponible para Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000
Impacto: La visualización de un archivo MIDI creado con fines malintencionados podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer de montón en el manejo de archivos MIDI por parte de QuickTime. Al incitar a un usuario a abrir un archivo MIDI creado con fines malintencionados, un atacante podía provocar el desbordamiento, lo que podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario. En esta actualización, se realizó una validación adicional de los archivos MIDI para solucionar el problema. Queremos darle las gracias a Mike Price de McAfee AVERT Labs por informar este problema.
QuickTime
ID CVE: CVE-2007-0713
Disponible para Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000
Impacto: La visualización de un archivo de video QuickTime creado con fines malintencionados podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer de montón en el manejo de archivos de video QuickTime por parte de QuickTime. Al incitar a un usuario a acceder a un video creado con fines malintencionados, un atacante podía provocar el desbordamiento, lo que podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario. En esta actualización, se realizó una validación adicional de los videos QuickTime para solucionar el problema. Queremos darles las gracias a Mike Price de McAfee AVERT Labs, Piotr Bania y Artur Ogloza por informar este problema.
QuickTime
ID CVE: CVE-2007-0714
Disponible para Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000
Impacto: La visualización de un archivo de video QuickTime creado con fines malintencionados podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento de enteros en el manejo de átomos de datos de usuarios (UDTA) en archivos de video por parte de QuickTime. Al incitar a un usuario a acceder a un video creado con fines malintencionados, un atacante podía provocar el desbordamiento, lo que podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario. En esta actualización, se realizó una validación adicional de los videos QuickTime para solucionar el problema. Queremos darles las gracias a Sowhat de Nevis Labs y a un investigador anónimo en colaboración con TippingPoint y el programa Zero Day Initiative por informar este problema.
QuickTime
ID CVE: CVE-2007-0715
Disponible para Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000
Impacto: La visualización de un archivo PICT creado con fines malintencionados podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer de montón en el manejo de archivos PICT por parte de QuickTime. Al incitar a un usuario a abrir un archivo PICT creado con fines malintencionados, un atacante podía provocar el desbordamiento, lo que podía ocasionar la ejecución de código arbitrario. En esta actualización, se realizó una validación adicional de los archivos PICT para solucionar el problema. Queremos darle las gracias a Mike Price de McAfee AVERT Labs por informar este problema.
QuickTime
ID CVE: CVE-2007-0716
Disponible para Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000
Impacto: La apertura de un archivo QTIF creado con fines malintencionados podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer de pila en el manejo de archivos QTIF por parte de QuickTime. Al incitar a un usuario a acceder a un archivo QTIF creado con fines malintencionados, un atacante podía provocar el desbordamiento, lo que podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario. En esta actualización, se realizó una validación adicional de los archivos QTIF para solucionar el problema. Queremos darle las gracias a Mike Price de McAfee AVERT Labs por informar este problema.
QuickTime
ID CVE: CVE-2007-0717
Disponible para Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000
Impacto: La apertura de un archivo QTIF creado con fines malintencionados podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento de enteros en el manejo de archivos QTIF por parte de QuickTime. Al incitar a un usuario a acceder a un archivo QTIF creado con fines malintencionados, un atacante podía provocar el desbordamiento, lo que podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario. En esta actualización, se realizó una validación adicional de los archivos QTIF para solucionar el problema. Queremos darle las gracias a Mike Price de McAfee AVERT Labs por informar este problema.
QuickTime
ID CVE: CVE-2007-0718
Disponible para Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000
Impacto: La apertura de un archivo QTIF creado con fines malintencionados podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer de montón en el manejo de archivos QTIF por parte de QuickTime. Al incitar a un usuario a acceder a un archivo QTIF creado con fines malintencionados, un atacante podía provocar el desbordamiento, lo que podía ocasionar el cierre de una aplicación o la ejecución de código arbitrario. En esta actualización, se realizó una validación adicional de los archivos QTIF para solucionar el problema. Queremos darles las gracias a Ruben Santamarta en colaboración con iDefense Vulnerability Contributor Program y a JJ Reyes por informar este problema.
QuickTime
ID CVE: CVE-2006-4965, CVE-2007-0059
Disponible para Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000
Impacto: La visualización de un archivo de video QuickTime o un archivo QTL creados con fines malintencionados podía ocasionar la ejecución de código JavaScript arbitrario en el contexto del dominio local.
Descripción: Existía un problema de ataques de scripts de zonas en el módulo del navegador de QuickTime. Al incitar a un usuario a abrir un archivo de video QuickTime o un archivo QTL creados con fines malintencionados, un atacante podía provocar el problema, lo que podía ocasionar la ejecución de código JavaScript arbitrario en el contexto del dominio local. Este problema se ha descrito en el sitio web Month of Apple Bugs (MOAB-03-01-2007). En esta actualización, se realizaron los siguientes cambios en el manejo de las discreciones URL en el atributo qtnext de los archivos QTL y HREFTracks en los videos QuickTime para solucionar el problema. Solo se permiten las direcciones URL “http:” y “https:” si el video se carga desde un sitio remoto. Solo se permiten las direcciones URL “file:” si el video se carga de forma local.
QuickTime 7.1.5 para Mac o Windows se puede descargar desde Actualización de software o de forma manual en http://www.apple.com/la/quicktime/download/.