Acerca del contenido de seguridad de QuickTime 7.5.5
En este documento, se describe el contenido de seguridad de QuickTime 7.5.5, que se puede descargar e instalar a través de las preferencias de Actualización de software o desde Descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información sobre otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad”.
QuickTime 7.5.5
QuickTime
CVE-ID: CVE-2008-3615
Disponible para: Windows Vista, XP SP2 y SP3
Impacto: Visualizar un archivo de video creado con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existía un problema de acceso a la memoria no inicializada en el códec Indeo v5 de terceros para QuickTime, que no se incluye con QuickTime. La visualización de un archivo de video creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización, el problema se solucionó al no reproducir contenido codificado con ninguna versión del códec Indeo. Este problema no afecta los sistemas con Mac OS X. Le damos las gracias a Paul Byrne de NGSSoftware por informar este problema.
QuickTime
CVE-ID: CVE-2008-3635
Disponible para: Windows Vista, XP SP2 y SP3
Impacto: Visualizar un archivo de video creado con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer de pila en el códec Indeo v3.2 de terceros para QuickTime. La visualización de un archivo de video creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización, el problema se solucionó al no reproducir contenido codificado con ninguna versión del códec Indeo. Este problema no afecta los sistemas con Mac OS X. Le damos las gracias a un investigador anónimo en colaboración con la iniciativa Zero Day de TippingPoint por informar este problema.
QuickTime
CVE-ID: CVE-2008-3624
Disponible para: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o versiones posteriores, Windows Vista, XP SP2 y SP3
Impacto: Visualizar un archivo de película QTVR creado con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer de montón en el manejo de los átomos panorámicos en los archivos de película QTVR (QuickTime Virtual Reality) por parte de QuickTime. La visualización de un archivo QTVR creado con fines malintencionados puede ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización, el problema se solucionó mejorando la comprobación de límites de los átomos panorámicos. Le damos las gracias a Roee Hay de IBM Rational Application Security Research Group por informar este problema.
QuickTime
CVE-ID: CVE-2008-3625
Disponible para: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o versiones posteriores, Windows Vista, XP SP2 y SP3
Impacto: Visualizar un archivo de película QTVR creado con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer de pila en el manejo de los átomos panorámicos en los archivos de película QTVR (QuickTime Virtual Reality) por parte de QuickTime. La visualización de un archivo QTVR creado con fines malintencionados puede ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización, el problema se solucionó mejorando la comprobación de límites de los átomos panorámicos. Gracias a un investigador anónimo que trabaja con la programa Zero Day Initiative de TippingPoint por informar este problema.
QuickTime
CVE-ID: CVE-2008-3614
Disponible para: Windows Vista, XP SP2 y SP3
Impacto: Abrir una imagen PICT creada con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento de enteros en el manejo de imágenes PICT por parte de QuickTime. Abrir una imagen PICT creada con fines malintencionados podría provocar el cierre inesperado de la app o la ejecución de código arbitrario. En esta actualización, se realiza una validación adicional de las imágenes PICT para solucionar el problema. Quisiéramos darle las gracias a un investigador anónimo que trabaja con el VCP de iDefense por informar sobre este problema.
QuickTime
CVE-ID: CVE-2008-3626
Disponible para: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o versiones posteriores, Windows Vista, XP SP2 y SP3
Impacto: Visualizar un archivo de película creado con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en el manejo de átomos STSZ en archivos de película por parte de QuickTime. La visualización de un archivo de video creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización, el problema se solucionó mejorando la comprobación de límites de los átomos STSZ. Gracias a un investigador anónimo que trabaja con la programa Zero Day Initiative de TippingPoint por informar este problema.
QuickTime
CVE-ID: CVE-2008-3627
Disponible para: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o versiones posteriores, Windows Vista, XP SP2 y SP3
Impacto: Visualizar un archivo de película creado con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existían varios daños en la memoria en el manejo de QuickTime de archivos de película codificados H.264. La visualización de un archivo de video creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización, el problema se solucionó realizando una validación adicional de los archivos de película codificados H.264. Les damos las gracias a un investigador anónimo y Subreption LLC en colaboración con la iniciativa Zero Day de TippingPoint por informar este problema.
QuickTime
CVE-ID: CVE-2008-3628
Disponible para: Windows Vista, XP SP2 y SP3
Impacto: Abrir una imagen PICT creada con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existía un problema de puntero no válido en el manejo de imágenes PICT por parte de QuickTime. Abrir una imagen PICT creada con fines malintencionados podría provocar el cierre inesperado de la app o la ejecución de código arbitrario. En esta actualización, el problema se solucionó guardando y restaurando una variable global de forma correcta. Este problema no afecta los sistemas con Mac OS X. Le damos las gracias a David Wharton por informar este problema.
QuickTime
CVE-ID: CVE-2008-3629
Disponible para: Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o versiones posteriores, Windows Vista, XP SP2 and SP3
Impacto: Abrir una imagen PICT creada con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones.
Descripción: Existía un problema de lectura fuera de límites en el manejo de imágenes PICT por parte de QuickTime. Abrir una imagen PICT creada con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones. En esta actualización, se realiza una validación adicional de las imágenes PICT para solucionar el problema. Gracias a Sergio 'shadown' Alvarez de n.runs AG por informar este problema.
Importante: La información sobre los productos no fabricados por Apple se proporciona solo con fines informativos y no constituye la recomendación ni promoción por parte de Apple. Comunícate con el proveedor para obtener información adicional.