Este artículo se ha archivado y Apple ya no lo actualiza.

Acerca del contenido de seguridad de QuickTime 7.1.5

Este documento describe el contenido de seguridad de QuickTime 7.1.5.

En este documento se describe el contenido la actualización de QuickTime 7.1.5, que se puede descargar e instalar a través de las preferencias de Actualización de Software o desde aquí.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple."

Actualización de QuickTime 7.1.5

QuickTime

CVE-ID: CVE-2007-0711

Disponible para: Windows Vista/XP/2000.

Impacto: visualizar un archivo 3GP creado con fines malintencionados puede provocar el cierre de la aplicación o la ejecución arbitraria de código.

Descripción: existe un desbordamiento de enteros en la gestión de archivos de vídeo 3GP por parte de QuickTime. Al inducir a un usuario para que abra una película creada con fines malintencionados, un atacante puede desencadenar el desbordamiento, lo que puede provocar el cierre de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema realizando una validación adicional de los archivos de vídeo 3GP. Este problema no afecta a Mac OS X. Gracias a JJ Reyes por informar de este problema.

QuickTime

CVE-ID: CVE-2007-0712

Disponible para: Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000.

Impacto: visualizar un archivo MIDI creado con fines malintencionados puede provocar el cierre de la aplicación o la ejecución arbitraria de código.

Descripción: existe un desbordamiento de búfer de memoria dinámica en la gestión archivos MIDI por parte de QuickTime. Al inducir a un usuario para que abra un archivo MIDI creado con fines malintencionados, un atacante puede desencadenar el desbordamiento, lo que puede provocar el cierre de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema realizando una validación adicional de los archivos MIDI. Gracias a Mike Price de McAfee AVERT Labs por informar de este problema.

QuickTime

CVE-ID: CVE-2007-0713

Disponible para: Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000.

Impacto: visualizar un archivo de película de QuickTime creado con fines malintencionados puede provocar el cierre de la aplicación o la ejecución arbitraria de código.

Descripción: existe un desbordamiento de búfer de memoria dinámica en la gestión de archivos de película de QuickTime por parte de QuickTime. Al inducir a un usuario para que acceda a una película creada con fines malintencionados, un atacante puede desencadenar el desbordamiento, lo que puede provocar el cierre de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema realizando una validación adicional de películas de QuickTime. Gracias a Mike Price de McAfee AVERT Labs, Piotr Bania y Artur Ogloza por informar de este problema.

QuickTime

CVE-ID: CVE-2007-0714

Disponible para: Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000.

Impacto: visualizar un archivo de película de QuickTime creado con fines malintencionados puede provocar el cierre de la aplicación o la ejecución arbitraria de código.

Descripción: existe un desbordamiento de enteros en la gestión de átomos de UDTA en archivos de película por parte de QuickTime. Al inducir a un usuario para que acceda a una película creada con fines malintencionados, un atacante puede desencadenar el desbordamiento, lo que puede provocar el cierre de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema realizando una validación adicional de películas de QuickTime. Gracias a Sowhat de Nevis Labs y a un investigador anónimo que trabaja con TippingPoint y Zero Day Initiative por informar de este problema.

QuickTime

CVE-ID: CVE-2007-0715

Disponible para: Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000.

Impacto: visualizar un archivo PICT creado con fines malintencionados puede provocar el cierre de la aplicación o la ejecución arbitraria de código.

Descripción: existe un desbordamiento de búfer de memoria dinámica en la gestión archivos PICT por parte de QuickTime. Al inducir a un usuario para que abra un archivo de imagen PICT creado con fines malintencionados, un atacante puede desencadenar el desbordamiento, lo que puede provocar la ejecución arbitraria de código. Esta actualización soluciona el problema realizando una validación adicional de los archivos PICT. Gracias a Mike Price de McAfee AVERT Labs por informar de este problema.

QuickTime

CVE-ID: CVE-2007-0716

Disponible para: Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000.

Impacto: abrir un archivo QTIF creado con fines malintencionados puede provocar el cierre de la aplicación o la ejecución arbitraria de código.

Descripción: existe un desbordamiento de búfer de pila en la gestión archivos QTIF por parte de QuickTime. Al inducir a un usuario para que acceda a un archivo QTIF creado con fines malintencionados, un atacante puede desencadenar el desbordamiento, lo que puede provocar el cierre de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema realizando una validación adicional de los archivos QTIF. Gracias a Mike Price de McAfee AVERT Labs por informar de este problema.

QuickTime

CVE-ID: CVE-2007-0717

Disponible para: Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000.

Impacto: abrir un archivo QTIF creado con fines malintencionados puede provocar el cierre de la aplicación o la ejecución arbitraria de código.

Descripción: existe un subdesbordamiento de enteros en la gestión de archivos QTIF por parte de QuickTime. Al inducir a un usuario para que acceda a un archivo QTIF creado con fines malintencionados, un atacante puede desencadenar el desbordamiento, lo que puede provocar el cierre de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema realizando una validación adicional de los archivos QTIF. Gracias a Mike Price de McAfee AVERT Labs por informar de este problema.

QuickTime

CVE-ID: CVE-2007-0718

Disponible para: Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000.

Impacto: abrir un archivo QTIF creado con fines malintencionados puede provocar el cierre de la aplicación o la ejecución arbitraria de código.

Descripción: existe un desbordamiento de búfer de memoria dinámica en la gestión archivos QTIF por parte de QuickTime. Al inducir a un usuario para que acceda a un archivo QTIF creado con fines malintencionados, un atacante puede desencadenar el desbordamiento, lo que puede provocar el cierre de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema realizando una validación adicional de los archivos QTIF. Gracias a Ruben Santamarta en colaboración con el programa iDefense Vulnerability Supplements y a JJ Reyes por informar de este problema.

QuickTime

CVE-ID: CVE-2006-4965, CVE-2007-0059

Disponible para: Mac OS X v10.3.9 y versiones posteriores, Windows Vista/XP/2000.

Impacto: visualizar de un archivo de película de QuickTime o un archivo QTL creado con fines malintencionados podría provocar la ejecución arbitraria de código JavaScript en el contexto del dominio local.

Descripción: existe un problema de secuencias de comandos entre zonas en el plug-in del navegador de QuickTime. Al inducir a un usuario para que abra un archivo de película de QuickTime o un archivo QTL malicioso, un atacante puede desencadenar el problema, lo que puede provocar la ejecución arbitraria de código JavaScript en el contexto del dominio local. Este problema se ha descrito en el sitio web Month of Apple Bugs (MOAB-03-01-2007). Esta actualización soluciona el problema realizando los siguientes cambios en la gestión de las URL en el atributo qtnext de los archivos QTL y HREFTracks en las películas de QuickTime. Solo se permiten las URL “http:” y “https:” si la película se carga desde un sitio remoto. Solo se permiten las URL “file:” si la película se carga localmente.

QuickTime 7.1.5 para Mac o Windows se puede obtener desde Actualización de Software o como descarga manual en: http://www.apple.com/quicktime/download/.

Fecha de publicación: