|
 |
|
Apple QuickTime Mehrere Sicherheitslücken
|
|
|
|
|
Secunia Advisory:
|
SA29650
|
|
|
Herausgegeben:
|
2008-04-03
|
|
Last Update:
|
2008-04-04
|
|
|
Gefahrenstufe:
|
Sehr kritisch
|
|
Auswirkung:
|
Enthüllung von sensiblen Informationen
DoS
Systemzugriff
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | Apple QuickTime 7.x
|
| | CVE reference: | CVE-2008-1013 (Secunia mirror)
CVE-2008-1014 (Secunia mirror)
CVE-2008-1015 (Secunia mirror)
CVE-2008-1016 (Secunia mirror)
CVE-2008-1017 (Secunia mirror)
CVE-2008-1018 (Secunia mirror)
CVE-2008-1019 (Secunia mirror)
CVE-2008-1020 (Secunia mirror)
CVE-2008-1021 (Secunia mirror)
CVE-2008-1022 (Secunia mirror)
CVE-2008-1023 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Einige Sicherheitslücken in Apple QuickTime wurden gemeldet, die böswillige Personen ausnutzen können, um potenziell sensible Informationen zu enthüllen oder ein verwundbares System zu kompromittieren.
1) Ein Implementierungsfehler in QuickTime für Java ermöglicht Java-Applets sensible Informationen zu enthüllen, oder beliebigen Code auszuführen, z.B. wenn ein Benutzer eine manipulierte Web-Seite besucht.
2) Ein unspezifizierter Fehler bei der Verwaltung von externen URLs in Movie-Dateien kann zu einer Preisgabe von Informationen führen.
3) Ein Fehler bei der Überprüfung von Eingaben bei der Verwaltung von "Data Reference Atoms" in Movie-Dateien kann ausgenutzt werden, um einen Pufferüberlauf zu verursachen, wenn eine speziell präparierte Movie-Datei betrachtet wird.
4) Ein unspezifizierter Fehler in der Verwaltung von Movie-Media-Tracks kann ausgenutzt werden, um eine Speicherkorruption zu verursachen, wenn eine speziell präparierte Movie-Datei betrachtet wird.
5) Ein Begrenzungsfehler existiert in der Bibliothek "quicktime.qts" beim Parsen von "crgn"-Atoms. Dieser kann ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu verursachen, wenn eine speziell präparierte Movie-Datei betrachtet wird.
6) Ein Begrenzungsfehler beim Parsen von Channel-Compositor-Atoms ("chan") kann ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu verursachen, wenn eine speziell präparierte Movie-Datei betrachtet wird.
7) Ein Begrenzungsfehler existiert in "quickTime.qts" bei der Verarbeitung von PICT-Dateien. Dieser kann ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu verursachen, wenn ein speziell präpariertes PICT-Bild betrachtet wird.
8) Ein Begrenzungsfehler existiert in der Bibliothek "quicktime.qts" bei der Verarbeitung von Kodak-enkodierten Bildern, der ausgenutzt werden kann, um einen Heap-basierten Pufferüberlauf zu verursachen.
Hinweis:Diese Sicherheitslücke betrifft nicht Mac OS X Systeme.
9) Ein Begrenzungsfehler in der Verarbeitung von Animation-Codec-Inhalten kann ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu verursachen, wenn eine speziell präparierte Movie-Datei betrachtet wird.
Hinweis:Diese Sicherheitslücke betrifft nicht Mac OS X Systeme.
10) Ein Begrenzungsfehler existiert beim Parsen von "obji"-Atoms. Dieser kann ausgenutzt werden, um einen Stack-basierten Pufferüberlauf zu verursachen, wenn eine speziell präparierte QuickTime-VR-Movie-Datei betrachtet wird, bei der "Atom Size" auf "0" gesetzt ist.
11) Ein Begrenzungsfehler beim Parsen des "Clip Opcodes" kann ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu verursachen, wenn ein speziell präpariertes PICT-Bild betrachtet wird.
Eine erfolgreiche Ausnutzung dieser Sicherheitslücken könnte die Ausführung von beliebigem Code ermöglichen.
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.
Lösung:
Aktualisieren Sie auf Version 7.4.5.
QuickTime 7.4.5 for Windows:
http://www.apple.com/support/downloads/quicktime745forwindows.html
QuickTime 7.4.5 for Leopard:
http://www.apple.com/support/downloads/quicktime745forleopard.html
QuickTime 7.4.5 for Panther:
http://www.apple.com/support/downloads/quicktime745forpanther.html
QuickTime 7.4.5 for Tiger:
http://www.apple.com/support/downloads/quicktime745fortiger.html
Gemeldet und/oder entdeckt von:
Der Hersteller nennt:
1) Adam Gowdiak
2) Jorge Escala von Open Tech Solutions und Vinoo Thomas und Rahul Mohandas von McAfee Avert Labs
3) Chris Ries, Carnegie Mellon University Computing Services
11) Wei Wang von McAfee AVERT Labs
5) Sanbin Li in Zusammenarbeit mit der ZDI
6) Eine anonyme Person in Zusammenarbeit mit der ZDI
7) bugfree in Zusammenarbeit mit der ZDI
8) Ruben Santamarta von Reversemode.com in Zusammenarbeit mit der ZDI
9) Eine anonyme Person in Zusammenarbeit mit der ZDI
10) Eine anonyme Person in Zusammenarbeit mit der ZDI
Änderungen:
2008-04-04: "Beschreibung", "Original Advisory" und "Gemeldet von"-Bereiche aktualisiert.
Original Advisory:
Apple:
http://support.apple.com/kb/HT1241
ZDI:
http://www.zerodayinitiative.com/advisories/ZDI-08-014/
http://www.zerodayinitiative.com/advisories/ZDI-08-015/
http://www.zerodayinitiative.com/advisories/ZDI-08-016/
http://www.zerodayinitiative.com/advisories/ZDI-08-017/
http://www.zerodayinitiative.com/advisories/ZDI-08-018/
http://www.zerodayinitiative.com/advisories/ZDI-08-019/
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
18 Related Secunia Security Advisories, displaying 10
|
|
|
1. Apple QuickTime Mehrere Sicherheitslücken
|
|
2. Apple QuickTime Mehrere Sicherheitslücken
|
|
3. Apple QuickTime RTSP-Antwort "Reason-Phrase" Pufferüberlauf
|
|
4. Apple QuickTime Mehrere Sicherheitslücken
|
|
5. Apple QuickTime RTSP "Content-Type"-Header Pufferüberlauf
|
|
6. Apple QuickTime Mehrere Sicherheitslücken
|
|
7. Apple QuickTime Mehrere Sicherheitslücken
|
|
8. Apple QuickTime Java-Erweiterung zwei Sicherheitslücken
|
|
9. Apple QuickTime Java-Erweiterung "toQTPointer()" Ausführung von Code
|
|
10. Apple QuickTime Mehrere Sicherheitslücken
|
Show all related advisories
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
