Acerca del contenido de seguridad de QuickTime 7.3

En este documento se describe el contenido la actualización de QuickTime 7.3, que se puede descargar e instalar a través de las preferencias de Actualización de Software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

QuickTime 7.3

QuickTime

CVE-ID: CVE-2007-2395

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: visualizar un archivo de vídeo creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

Descripción: existe un problema de corrupción de memoria en el manejo de los átomos de descripción de imagen por parte de QuickTime. Al instar a un usuario a abrir un archivo de película creado con fines malintencionados, un atacante puede causar la terminación inesperada de la aplicación o la ejecución de código arbitrario. Esta actualización aborda el problema realizando una validación adicional de las descripciones de imágenes de QuickTime. Gracias a Dylan Ashe de Adobe Systems Incorporated por informar sobre este problema.

QuickTime

CVE-ID: CVE-2007-3750

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: visualizar un archivo de vídeo creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

Descripción: existe un desbordamiento de búfer de montón en el manejo de los átomos del descriptor de muestra de tabla de muestra (STSD) por parte de QuickTime Player. Al instar a un usuario a abrir un archivo de película creado con fines malintencionados, un atacante puede causar la terminación inesperada de la aplicación o la ejecución de código arbitrario. Esta actualización resuelve el problema realizando una validación adicional de los átomos STSD. Gracias a Tobias Klein de www.trapkit.de por informar sobre este problema.

QuickTime

CVE-ID: CVE-2007-3751

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: los applets de Java no confiables pueden obtener privilegios elevados.

Descripción: existen múltiples vulnerabilidades en QuickTime para Java, que pueden permitir que los applets de Java no confiables obtengan privilegios elevados. Al instar a un usuario a que visite una página web que contiene un applet de Java creado con fines malintencionados, un atacante puede causar la divulgación de información confidencial y la ejecución de código arbitrario con privilegios elevados. Esta actualización aborda los problemas al hacer que QuickTime para Java ya no sea accesible para los applets de Java no confiables. Gracias a Chris Evans por informar sobre este problema.

QuickTime

CVE-ID: CVE-2007-4672

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: la visualización de una imagen PICT creada con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario.

Descripción: existe un desbordamiento de búfer de pila en el procesamiento de imágenes PICT. Al instar a un usuario a que abra una imagen creada con fines malintencionados, un atacante puede causar una terminación inesperada de la aplicación o la ejecución de código arbitrario. Esta actualización resuelve el problema mediante la realización de una validación adicional de los archivos PICT. Crédito a Ruben Santamarta de reversemode.com, que trabaja en TippingPoint y en la Iniciativa de Día Cero, por informar sobre este problema.

QuickTime

CVE-ID: CVE-2007-4676

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: la visualización de una imagen PICT creada con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario.

Descripción: existe un desbordamiento de búfer de montón en el procesamiento de imágenes PICT. Al instar a un usuario a que abra una imagen creada con fines malintencionados, un atacante puede causar una terminación inesperada de la aplicación o la ejecución de código arbitrario. Esta actualización resuelve el problema mediante la realización de una validación adicional de los archivos PICT. Crédito a Ruben Santamarta de reversemode.com, que trabaja en TippingPoint y en la Iniciativa de Día Cero, por informar sobre este problema.

QuickTime

CVE-ID: CVE-2007-4675

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: visualizar un archivo de vídeo QTV creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

Descripción: existe un desbordamiento de búfer de pila en el manejo de QuickTime de átomos de muestra de panorama en archivos de película QTVR (QuickTime Virtual Reality). Al instar a un usuario a que vea un archivo QTVR creado con fines malintencionados, un atacante puede causar una terminación inesperada de la aplicación o la ejecución de código arbitrario. Esta actualización resuelve el problema realizando la comprobación de límites en los átomos de muestra panorámica. Crédito a Mario Ballano de 48bits.com, que trabaja en el VCP de VeriSign iDefense, por informar sobre este problema.

QuickTime

CVE-ID: CVE-2007-4677

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: visualizar un archivo de vídeo creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

Descripción: existe un desbordamiento de búfer de montón en el análisis del átomo de la tabla de colores al abrir un archivo de película. Al instar a un usuario a abrir un archivo de película creado con fines malintencionados, un atacante puede causar la terminación inesperada de la aplicación o la ejecución de código arbitrario. Esta actualización aborda el problema mediante la realización de una validación adicional de los átomos de la tabla de colores. Crédito a Ruben Santamarta de reversemode.com y Mario Ballano de 48bits.com, que trabajan en TippingPoint y en la Iniciativa del Día Cero, por informar sobre este problema.

QuickTime

CVE-ID: CVE-2007-4674

Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: visualizar un archivo de vídeo creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

Descripción: un problema de aritmética de enteros en el manejo de QuickTime de ciertos átomos de archivos de película puede provocar un desbordamiento del búfer de pila. Al instar a un usuario a abrir un archivo de película creado con fines malintencionados, un atacante puede causar la terminación inesperada de la aplicación o la ejecución de código arbitrario. Esta actualización aborda el problema mediante el manejo mejorado de los campos de longitud de átomo en los archivos de película. Gracias a Cody Pierce de TippingPoint DVLabs por informar sobre este problema.