Acerca del contenido de seguridad de QuickTime 7.3

En este documento se describe el contenido de seguridad de QuickTime 7.3, que puede descargarse e instalarse a través de las preferencias de actualización de software o desde las descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información sobre la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta las actualizaciones de seguridad de Apple.

QuickTime 7.3

QuickTime

ID CVE: CVE-2007-2395

Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: La visualización de un archivo de película creado con fines malintencionados podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Existe un problema de corrupción de memoria en la gestión de átomos de descripción de imágenes por parte de QuickTime. Al incitar a un usuario a abrir un archivo de película creado con fines malintencionados, un atacante podría provocar el cierre inesperado de una app o la ejecución de código arbitrario. En esta actualización se soluciona el problema al realizar una validación adicional de las descripciones de imágenes QuickTime. Gracias a Dylan Ashe de Adobe Systems Incorporated por informarnos este problema.

QuickTime

ID CVE: CVE-2007-3750

Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: La visualización de un archivo de película creado con fines malintencionados podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Existe un desbordamiento de búfer de montículo en la gestión de QuickTime Player de los átomos de Sample Table Sample Descriptor (STSD). Al incitar a un usuario a abrir un archivo de película creado con fines malintencionados, un atacante podría provocar el cierre inesperado de una app o la ejecución de código arbitrario. En esta actualización se soluciona el problema al realizar una validación adicional de los átomos de STSD. Gracias a Tobias Klein de www.trapkit.de por informarnos este problema.

QuickTime

ID CVE: CVE-2007-3751

Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: Los applets de Java que no son de confianza podían obtener privilegios elevados.

Descripción: Es posible que existan múltiples vulnerabilidades en QuickTime para Java, que pueden permitir a applets de Java que no son de confianza obtener privilegios elevados. Al incitar a un usuario a visitar una página web que contenga un applet de Java creado con fines malintencionados, un atacante podría provocar la divulgación de información confidencial y la ejecución de código arbitrario con privilegios elevados. En esta actualización se solucionaron los problemas al hacer que QuickTime para Java deje de ser accesible para applets de Java que no son de confianza. Gracias a Adam Gowdiak por informarnos este problema.

QuickTime

ID CVE: CVE-2007-4672

Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: Es posible que la apertura de una imagen PICT creada con fines malintencionados pueda ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Existe un desbordamiento de búferes apilados en el procesamiento de imágenes PICT. Al incitar a un usuario a abrir una imagen creada con fines malintencionados, un atacante podría provocar el cierre inesperado de una app o la ejecución de código arbitrario. En esta actualización se soluciona el problema al realizar una validación adicional de los archivos PICT. Gracias a Ruben Santamarta de reversemode.com, que trabaja con TippingPoint y la iniciativa Zero Day, por informarnos este problema.

QuickTime

ID CVE: CVE-2007-4676

Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: Es posible que la apertura de una imagen PICT creada con fines malintencionados pueda ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Existe un desbordamiento de búfer de montículo en el procesamiento de imágenes PICT. Al incitar a un usuario a abrir una imagen creada con fines malintencionados, un atacante podría provocar el cierre inesperado de una app o la ejecución de código arbitrario. En esta actualización se soluciona el problema al realizar una validación adicional de los archivos PICT. Gracias a Ruben Santamarta de reversemode.com, que trabaja con TippingPoint y la iniciativa Zero Day, por informarnos este problema.

QuickTime

ID CVE: CVE-2007-4675

Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: La visualización de un archivo de película QTVR creado con fines malintencionados podía provocar el cierre inesperado de un app o la ejecución de código arbitrario.

Descripción: Existe un desbordamiento de búfer de montículo en la gestión de QuickTime de átomos de muestra panorámica en archivos de película QTVR (QuickTime Virtual Reality). Al incitar a un usuario a visualizar un archivo QTVR creado con fines malintencionados, un atacante podría provocar el cierre inesperado de una app o la ejecución de código arbitrario. En esta actualización se soluciona el problema al realizar una comprobación de límites en los átomos de muestra panorámica. Gracias a Mario Ballano de 48bits.com, que trabaja con el VCP de VeriSign iDefense, por informarnos este problema.

QuickTime

ID CVE: CVE-2007-4677

Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: La visualización de un archivo de película creado con fines malintencionados podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Existe un desbordamiento de búfer de montículo en el análisis del átomo de la tabla de colores al abrir un archivo de película. Al incitar a un usuario a abrir un archivo de película creado con fines malintencionados, un atacante podría provocar el cierre inesperado de una app o la ejecución de código arbitrario. En esta actualización se soluciona el problema al realizar una validación adicional de los átomos de la tabla de colores. Gracias a Ruben Santamarta de reversemode.com y a Mario Ballano de 48bits.com, que trabajan con TippingPoint y la iniciativa Zero Day, por informarnos este problema.

QuickTime

ID CVE: CVE-2007-4674

Disponible para Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior, Mac OS X v10.5, Windows Vista, XP SP2

Impacto: La visualización de un archivo de película creado con fines malintencionados podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Un problema de aritmética de enteros en la gestión de QuickTime de determinados átomos de archivos de película podría provocar un desbordamiento de los búferes apilados. Al incitar a un usuario a abrir un archivo de película creado con fines malintencionados, un atacante podría provocar el cierre inesperado de una app o la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la gestión de los campos de longitud de átomo en los archivos de video. Gracias a Cody Pierce de TippingPoint DVLabs por informarnos este problema.