Acerca del contenido de seguridad de QuickTime 7.4

En este documento se describe el contenido de seguridad de QuickTime 7.4, que se puede descargar e instalar a través de las preferencias de Actualización de software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información sobre otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.

QuickTime 7.4

QuickTime

ID de CVE: CVE-2008-0031

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o versiones posteriores, Mac OS X v10.5 o posterior, Windows Vista y XP SP2

Impacto: Visualizar un archivo de vídeo creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

Descripción: existe un problema de corrupción de memoria en la gestión de archivos de vídeo Sorenson 3 por parte de QuickTime. Esto puede provocar que la aplicación se cierre de forma inesperada o la ejecución arbitraria de código. Esta actualización soluciona el problema mediante la validación adicional de los archivos de vídeo de Sorenson 3. Gracias a Joe Schottman de Virginia Tech por informar de este problema.

QuickTime

ID de CVE: CVE-2008-0032

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o versiones posteriores, Mac OS X v10.5 o posterior, Windows Vista y XP SP2

Impacto: Visualizar un archivo de vídeo creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

Descripción: existe un problema de corrupción de memoria en la gestión por parte de QuickTime de los registros de recursos de Macintosh en archivos de vídeo. Abrir un archivo de vídeo creado con fines malintencionados podría ocasionar que la aplicación se cierre de forma inesperada o la ejecución de código arbitrario. Esta actualización soluciona el problema mediante la validación adicional de los archivos de vídeo. Gracias a Jun Mao de VeriSign iDefense Labs por informar de este problema.

QuickTime

ID de CVE: CVE-2008-0033

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o versiones posteriores, Mac OS X v10.5 o posterior, Windows Vista y XP SP2

Impacto: Visualizar un archivo de vídeo creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

Descripción: existe un problema de corrupción de memoria en el análisis de QuickTime de los átomos del descriptor de imágenes (IDSC). Abrir un archivo de vídeo creado con fines malintencionados podría ocasionar que la aplicación se cierre de forma inesperada o la ejecución de código arbitrario. Esta actualización soluciona el problema al realizar una validación adicional de los átomos del descriptor de imágenes en los archivos de vídeo. Gracias a Cody Pierce de TippingPoint DVLabs por informar de este problema.

QuickTime

ID de CVE: CVE-2008-0036

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o versiones posteriores, Mac OS X v10.5 o posterior, Windows Vista y XP SP2

Impacto: abrir una imagen PICT creada con fines malintencionados podría provocar que la aplicación se cierre de forma inesperada o la ejecución de código arbitrario.

Descripción: se puede producir un desbordamiento del búfer mientras se procesa una imagen PICT comprimida. Abrir un archivo PICT comprimido creado con fines malintencionados podría provocar que la aplicación se cierre de forma inesperada o la ejecución de código arbitrario. Esta actualización soluciona el problema al terminar la descodificación cuando el resultado se extendería más allá del final del búfer de destino. Gracias a Chris Ries de Carnegie Mellon University Computing Services por informar de este problema.