|
 |
|
Apple QuickTime Mehrere Sicherheitslücken
|
|
|
|
|
Secunia Advisory:
|
SA24359
|
|
|
Herausgegeben:
|
2007-03-06
|
|
Last Update:
|
2007-03-26
|
|
|
Gefahrenstufe:
|
Sehr kritisch
|
|
Auswirkung:
|
Systemzugriff
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | Apple QuickTime 7.x
|
| | CVE reference: | CVE-2007-0711 (Secunia mirror)
CVE-2007-0712 (Secunia mirror)
CVE-2007-0713 (Secunia mirror)
CVE-2007-0714 (Secunia mirror)
CVE-2007-0715 (Secunia mirror)
CVE-2007-0716 (Secunia mirror)
CVE-2007-0717 (Secunia mirror)
CVE-2007-0718 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Einige Sicherheitslücken in Apple QuickTime wurden gemeldet, die böswillige Personen ausnutzen können, um das System eines Benutzers zu kompromittieren.
1) Ein Integer-Überlauf-Fehler existiert in der Verarbeitung von 3GP-Video-Dateien.
Hinweis: QuickTime für Mac OS X ist nicht betroffen.
2) Ein Begrenzungsfehler in der Verarbeitung von MIDI-Dateien kann ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu verursachen.
3) Ein Begrenzungsfehler in der Verarbeitung von QuickTime-Movie-Dateien kann ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu verursachen.
4) Ein Integer-Überlauf existiert in der Verarbeitung von "size" Werten von UDTA-atoms in Movie-Dateien, der ausgenutzt werden kann, um eine Heap-Speicherkorruption zu verursachen.
5) Ein Begrenzungsfehler in der Verarbeitung von PICT-Dateien kann ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu verursachen.
6) Ein Begrenzungsfehler in der Verarbeitung von QTIF-Dateien kann ausgenutzt werden, um einen Stack-basierten Pufferüberlauf zu verursachen.
7) Ein Integer-Überlauf besteht in der Verarbeitung von QTIF-Dateien.
8) Ein Fehler in der Überprüfung von Eingaben existiert in der Verarbeitung von QTIF-Dateien. Dieser kann ausgenutzt werden, um mit einer speziell präparierten QTIF-Datei, mit auf "0" gesetztem "Color Table ID"-Feld, eine Speicherkorruption auf dem Heap zu verursachen.
9) Ein Begrenzungsfehler in der Verarbeitung von "Jpeg 2000"-Dateien kann ausgenutzt werden, um mit einer speziell präparierten JP2-Datei einen Stack-basierten Pufferüberlauf zu verursachen.
Eine erfolgreiche Ausnutzung der Sicherheitslücken könnte die Ausführung von beliebigem Code ermöglichen.
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.
Lösung:
Aktualisieren Sie auf Version 7.1.5.
Mac OS X:
http://www.apple.com/quicktime/download/mac.html
Windows:
http://www.apple.com/quicktime/download/win.html
Gemeldet und/oder entdeckt von:
1) JJ Reyes
2,5,6,7) Mike Price, McAfee AVERT Labs
3) Mike Price, McAfee AVERT Labs, Piotr Bania und Artur Ogloza
4) Sowhat of Nevis Labs und eine anonyme Person durch ZDI.
8) Ruben Santamarta via iDefense und JJ Reyes
9) Stiller Fix festgestellt von Secunia Research
Änderungen:
2007-03-07: Links zum US-CERT hinzugefügt. Link zum "Original Advisory"-Abschnitt hinzugefügt.
2007-03-08: Link zur ZDI hinzugefügt.
2007-03-26: Informationen über einen im Stillen behobenen Fix hinzugefügt.
Original Advisory:
Apple:
http://docs.info.apple.com/article.html?artnum=305149
Piotr Bania:
http://www.piotrbania.com/all/adv/quicktime-heap-adv-7.1.txt
iDefense:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=486
Sowhat:
http://secway.org/advisory/AD20070306.txt
Reverse Mode:
http://www.reversemode.com/index.php?...;Itemid=2&func=fileinfo&id=46
ZDI:
http://www.zerodayinitiative.com/advisories/ZDI-07-010.html
Andere Referenzen:
US-CERT VU#642433:
http://www.kb.cert.org/vuls/id/642433
US-CERT VU#568689:
http://www.kb.cert.org/vuls/id/568689
US-CERT VU#410993:
http://www.kb.cert.org/vuls/id/410993
US-CERT VU#861817:
http://www.kb.cert.org/vuls/id/861817
US-CERT VU#880561:
http://www.kb.cert.org/vuls/id/880561
US-CERT VU#448745:
http://www.kb.cert.org/vuls/id/448745
US-CERT VU#313225:
http://www.kb.cert.org/vuls/id/313225
US-CERT VU#822481:
http://www.kb.cert.org/vuls/id/822481
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
18 Related Secunia Security Advisories, displaying 10
|
|
|
1. Apple QuickTime Mehrere Sicherheitslücken
|
|
2. Apple QuickTime Mehrere Sicherheitslücken
|
|
3. Apple QuickTime Mehrere Sicherheitslücken
|
|
4. Apple QuickTime RTSP-Antwort "Reason-Phrase" Pufferüberlauf
|
|
5. Apple QuickTime Mehrere Sicherheitslücken
|
|
6. Apple QuickTime RTSP "Content-Type"-Header Pufferüberlauf
|
|
7. Apple QuickTime Mehrere Sicherheitslücken
|
|
8. Apple QuickTime Mehrere Sicherheitslücken
|
|
9. Apple QuickTime Java-Erweiterung zwei Sicherheitslücken
|
|
10. Apple QuickTime Java-Erweiterung "toQTPointer()" Ausführung von Code
|
Show all related advisories
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
