|
 |
|
Apple QuickTime Mehrere Sicherheitslücken
|
|
|
|
|
Secunia Advisory:
|
SA26034
|
|
|
Herausgegeben:
|
2007-07-12
|
|
|
Gefahrenstufe:
|
Sehr kritisch
|
|
Auswirkung:
|
Enthüllung von sensiblen Informationen
DoS
Systemzugriff
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | Apple QuickTime 7.x
|
| | CVE reference: | CVE-2007-2295 (Secunia mirror)
CVE-2007-2296 (Secunia mirror)
CVE-2007-2392 (Secunia mirror)
CVE-2007-2393 (Secunia mirror)
CVE-2007-2394 (Secunia mirror)
CVE-2007-2396 (Secunia mirror)
CVE-2007-2397 (Secunia mirror)
CVE-2007-2402 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Einige Sicherheitslücke in Apple QuickTime wurden gemeldet, die böswillige Personen ausnutzen können, um das System eines Benutzers zu kompromittieren.
1) Ein unspezifizierter Fehler besteht in der Verarbeitung von H.264 Filmen. Dieser kann ausgenutzt werden, um eine Speicherkorruption zu verursachen und könnte die Ausführung von beliebigem Code ermöglichen, wenn ein Benutzer auf einen speziell präparierten H.264 Film zugreift.
2) Ein unspezifizierter Fehler existiert in der Verarbeitung von Filmdateien. Dieser kann ausgenutzt werden, um eine Speicherkorruption zu verursachen und könnte die Ausführung von beliebigem Code ermöglichen, wenn ein Benutzer auf eine speziell präparierte Filmdatei zugreift.
3) Ein Integer-Überlauf besteht in der Verarbeitung von .m4v Dateien und kann ausgenutzt werden, um beliebigen Code auszuführen, wenn ein Benutzer auf eine speziell präparierte .m4v Datei zugreift.
4) Ein Integer-Überlauf besteht in der Verwaltung der Felder "author" und "title", wenn SMIL-Dateien geparst werden. Dies kann ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu verursachen und könnte die Ausführung von beliebigem Code ermöglichen, wenn ein Benutzer eine speziell präparierte SMIL-Datei öffnet.
5) Ein Designfehler besteht in QuickTime für Java, der ausgenutzt werden kann, um Sicherheitsüberprüfungen auszuschalten und beliebigen Code auszuführen, wenn ein Benutzer eine Web-Seite mit einem speziell präparierten Applet besucht.
6) Ein Designfehler besteht in QuickTime für Java, der ausgenutzt werden kann, um Sicherheitsüberprüfungen zu umgehen und Prozesspeicher zu lesen und zu beschreiben. Dies kann zur Ausführung beliebigen Codes führen, wenn ein Benutzer eine Web-Seite mit einem speziell präparierten Applet besucht.
7) Ein Designfehler besteht in QuickTime für Java, da JDirect Schnittstellen bereitstellt, die das Laden von beliebigen Bibliotheken und die Freigabe von beliebigem Speicher ermöglicht. Dies kann ausgenutzt werden, um beliebigen Code auszuführen, wenn ein Benutzer eine Web-Seite mit einem speziell präparierten Applet besucht.
8) Ein Designfehler besteht in QuickTime für Java, der ausgenutzt werden kann, um den Bildschirm eines Benutzers zu erfassen, wenn ein Benutzer eine Web-Seite mit einem speziell präparierten Applet besucht.
Die Sicherheitslücken wurden in Versionen vor 7.2 gemeldet.
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.
Lösung:
Aktualisieren Sie auf Version 7.2.
QuickTime 7.2 für Mac:
http://www.apple.com/support/downloads/quicktime72formac.html
QuickTime 7.2 für Windows:
http://www.apple.com/support/downloads/quicktime72forwindows.html
Gemeldet und/oder entdeckt von:
1) Der Hersteller nennt Tom Ferris, Security-Protocols.com und Matt Slot, Ambrosia Software, Inc.
2) Der Hersteller nennt Jonathan 'Wolf' Rentzsch von Red Shed Software.
3) Der Hersteller nennt Tom Ferris, Security-Protocols.com.
4) David Vaartjes of ITsec Security Services, gemeldet via iDefense.
5, 6, 7) Der Hersteller nennt Adam Gowdiak.
8) Gemeldet durch den Hersteller.
Änderungen:
2007-07-12: Link zum US-CERT hinzugefügt.
Original Advisory:
Apple:
http://docs.info.apple.com/article.html?artnum=305947
iDefense:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=556
Andere Referenzen:
US-CERT VU#582681:
http://www.kb.cert.org/vuls/id/582681
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
18 Related Secunia Security Advisories, displaying 10
|
|
|
1. Apple QuickTime Mehrere Sicherheitslücken
|
|
2. Apple QuickTime Mehrere Sicherheitslücken
|
|
3. Apple QuickTime Mehrere Sicherheitslücken
|
|
4. Apple QuickTime RTSP-Antwort "Reason-Phrase" Pufferüberlauf
|
|
5. Apple QuickTime Mehrere Sicherheitslücken
|
|
6. Apple QuickTime RTSP "Content-Type"-Header Pufferüberlauf
|
|
7. Apple QuickTime Mehrere Sicherheitslücken
|
|
8. Apple QuickTime Java-Erweiterung zwei Sicherheitslücken
|
|
9. Apple QuickTime Java-Erweiterung "toQTPointer()" Ausführung von Code
|
|
10. Apple QuickTime Mehrere Sicherheitslücken
|
Show all related advisories
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
