Acerca del contenido de seguridad de QuickTime 7.3.1

En este documento se describe el contenido de seguridad de QuickTime 7.3.1, que se puede descargar e instalar a través de las preferencias de Actualización de software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta “Cómo utilizar la clave PGP de seguridad de los productos Apple”.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información sobre otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.

QuickTime 7.3.1

QuickTime

ID de CVE: CVE-2007-6166

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o versiones posteriores, Mac OS X v10.5 o versiones posteriores, Windows Vista y XP SP2

Impacto: visualizar un archivo de vídeo RTSP creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

Descripción: existe un desbordamiento de búfer en la gestión de los encabezados del protocolo de transmisión en tiempo real (RTSP) por parte de QuickTime. Al persuadir a un usuario para que vea un vídeo RTSP creado con fines malintencionados, un atacante puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema asegurándose de que el búfer de destino tenga el tamaño adecuado para contener los datos.

QuickTime

ID de CVE: CVE-2007-4706

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o versiones posteriores, Mac OS X v10.5 o versiones posteriores, Windows Vista y XP SP2

Impacto: visualizar archivos multimedia QTL creados con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

Descripción: existe un desbordamiento del búfer de pila en la gestión de archivos QTL por parte de QuickTime. Al persuadir a un usuario para que vea un archivo QTL creado con fines malintencionados, un atacante puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema mejorando la comprobación de límites.

QuickTime

ID de CVE: CVE-2007-4707

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o versiones posteriores, Mac OS X v10.5 o versiones posteriores, Windows Vista y XP SP2

Impacto: varias vulnerabilidades en el controlador multimedia Flash de QuickTime

Descripción: existen varias vulnerabilidades en el controlador multimedia Flash de QuickTime, la más grave de las cuales puede provocar la ejecución arbitraria de código. Con esta actualización, el controlador multimedia Flash de QuickTime está desactivado, excepto para un número limitado de vídeos de QuickTime que se sabe que son seguros. Gracias a Tom Ferris del Adobe Secure Software Engineering Team (ASSET), Mike Price de McAfee Avert Labs, los investigadores de seguridad Lionel d'Hauenens y Brian Mariani de Syseclabs y un investigador anónimo en colaboración con Zero Day Initiative de TippingPoint por informar de este problema.