|
 |
|
Apple QuickTime Java-Erweiterung zwei Sicherheitslücken
|
|
|
|
|
Secunia Advisory:
|
SA25130
|
|
|
Herausgegeben:
|
2007-05-30
|
|
Last Update:
|
2007-05-31
|
|
|
Gefahrenstufe:
|
Sehr kritisch
|
|
Auswirkung:
|
Enthüllung von sensiblen Informationen
Systemzugriff
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | Apple QuickTime 7.x
|
| | CVE reference: | CVE-2007-2388 (Secunia mirror)
CVE-2007-2389 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Zwei Sicherheitslücken wurden in Apple QuickTime gemeldet, die böswillige Personen ausnutzen können, um potenziell sensible Informationen zu erlangen oder das System eines Benutzers zu kompromittieren.
1) Ein Designfehler in den Sicherheitsbeschränkungen der Unterklassen von QTObject kann von nicht vertrauenswürdigem Java-Code ausgenutzt werden, um Unterklassen von QuickTime-Objekten zu erstellen, die unsichere Funktionen von QTJava.dll aufrufen, wodurch beliebige Stellen im Speicher gelesen oder beschrieben werden können.
Eine erfolgreiche Ausnutzung erlaubt die Ausführung von beliebigem Code unter Windows und OS X, falls ein Benutzer eine bösartige Website mit einem Java-fähigem Browser besucht.
2) Ein Designfehler in der Verarbeitung von Java-Applets kann ausgenutzt werden, um den Speicher des Browsers zu lesen, falls ein Benutzer eine bösartige Website besucht die ein bösartiges Java-Applet enthält.
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.
Lösung:
Installieren Sie das Security Update (QuickTime 7.1.6).
Mac OS X:
http://www.apple.com/support/downloads/securityupdatequicktime716formac.html
Windows:
http://www.apple.com/support/downloads/securityupdatequicktime716forwindows.html
Gemeldet und/oder entdeckt von:
1) Unabhängig entdeckt von:
* Dyon Balding, Secunia Research
* John McDonald, Paul Griswold und Tom Cross, IBM Internet Security Systems X-Force.
2) Durch den Hersteller gemeldet.
Änderungen:
2007-05-31: Links zum US-CERT hinzugefügt.
Original Advisory:
Apple:
http://docs.info.apple.com/article.html?artnum=305531
Secunia Research:
http://secunia.com/secunia_research/2007-52/
Andere Referenzen:
US-CERT VU#434748:
http://www.kb.cert.org/vuls/id/434748
US-CERT VU#995836:
http://www.kb.cert.org/vuls/id/995836
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
18 Related Secunia Security Advisories, displaying 10
|
|
|
1. Apple QuickTime Mehrere Sicherheitslücken
|
|
2. Apple QuickTime Mehrere Sicherheitslücken
|
|
3. Apple QuickTime Mehrere Sicherheitslücken
|
|
4. Apple QuickTime RTSP-Antwort "Reason-Phrase" Pufferüberlauf
|
|
5. Apple QuickTime Mehrere Sicherheitslücken
|
|
6. Apple QuickTime RTSP "Content-Type"-Header Pufferüberlauf
|
|
7. Apple QuickTime Mehrere Sicherheitslücken
|
|
8. Apple QuickTime Mehrere Sicherheitslücken
|
|
9. Apple QuickTime Java-Erweiterung "toQTPointer()" Ausführung von Code
|
|
10. Apple QuickTime Mehrere Sicherheitslücken
|
Show all related advisories
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
