c.m.g
10-06-2008, 09:00
10 giugno 2008
Security Focus (http://www.securityfocus.com) riporta un bollettino di sicurezza (29619 (http://www.securityfocus.com/bid/29619/info)) in cui si spiega che sono state trovate multiple vulnerabilità in Apple QuickTime che esporrebbero il computer all'esecuzione non autorizzata di codice arbitrario malevolo.
I bugs sono dati dall'errata manipolazione da parte del programma buggato di files creati ad hoc da malintenzionati quali: immagini PICT, contenuti video Indeo, files video, 'file:' URIs e media codificati AAC. Loi sfruttamento con successo di questi bugs porterebbe all'esecuzione di codice arbitrario malevolo da parte di un attacker per guadagnare un accesso remoto non autorizzato alla macchina dove gira il programma fallato; il fallimento esporrebbe il pc ad una condizione di denial-of-service (Dos).
Le versioni buggate sono le antecedenti QuickTime 7.5, più nello specifico:
Apple QuickTime Player 7.4.5
+ Apple Mac OS X 10.4.9
+ Apple Mac OS X 10.3.9
+ Apple Mac OS X 10.5
+ Apple Mac OS X Server 10.4.9
+ Apple Mac OS X Server 10.3.9
+ Apple Mac OS X Server 10.5
Apple QuickTime Player 7.4.1
Apple QuickTime Player 7.3.1 .70
Apple QuickTime Player 7.3.1
Apple QuickTime Player 7.1.6
Apple QuickTime Player 7.1.5
Apple QuickTime Player 7.1.4
Apple QuickTime Player 7.1.3
Apple QuickTime Player 7.1.2
Apple QuickTime Player 7.1.1
Apple QuickTime Player 7.0.4
Apple QuickTime Player 7.0.3
Apple QuickTime Player 7.0.2
Apple QuickTime Player 7.0.1
Apple QuickTime Player 7.4
Apple QuickTime Player 7.4
Apple QuickTime Player 7.3
Apple QuickTime Player 7.2
Apple QuickTime Player 7.1
Versione non buggata:
Apple QuickTime Player 7.5
Soluzione:
Il produttore ha rilasciato una nuova release, per maggiori info seguire questa pagina (http://www.securityfocus.com/bid/29619/references).
Bugs scoperti da:
Dyon Balding of Secunia Research, Dave Soldera of NGS Software, Jens Alfke, Liam O Murchu of Symantec, TippingPoint's Zero Day Initiative, Vinoo Thomas and Rahul Mohandas of McAfee Avert Labs, Petko D. (pdp) Petkov of GNUCITIZEN and anonymous researchers.
Fonte: SecurityFocus (http://www.securityfocus.com/bid/29619/info)
Security Focus (http://www.securityfocus.com) riporta un bollettino di sicurezza (29619 (http://www.securityfocus.com/bid/29619/info)) in cui si spiega che sono state trovate multiple vulnerabilità in Apple QuickTime che esporrebbero il computer all'esecuzione non autorizzata di codice arbitrario malevolo.
I bugs sono dati dall'errata manipolazione da parte del programma buggato di files creati ad hoc da malintenzionati quali: immagini PICT, contenuti video Indeo, files video, 'file:' URIs e media codificati AAC. Loi sfruttamento con successo di questi bugs porterebbe all'esecuzione di codice arbitrario malevolo da parte di un attacker per guadagnare un accesso remoto non autorizzato alla macchina dove gira il programma fallato; il fallimento esporrebbe il pc ad una condizione di denial-of-service (Dos).
Le versioni buggate sono le antecedenti QuickTime 7.5, più nello specifico:
Apple QuickTime Player 7.4.5
+ Apple Mac OS X 10.4.9
+ Apple Mac OS X 10.3.9
+ Apple Mac OS X 10.5
+ Apple Mac OS X Server 10.4.9
+ Apple Mac OS X Server 10.3.9
+ Apple Mac OS X Server 10.5
Apple QuickTime Player 7.4.1
Apple QuickTime Player 7.3.1 .70
Apple QuickTime Player 7.3.1
Apple QuickTime Player 7.1.6
Apple QuickTime Player 7.1.5
Apple QuickTime Player 7.1.4
Apple QuickTime Player 7.1.3
Apple QuickTime Player 7.1.2
Apple QuickTime Player 7.1.1
Apple QuickTime Player 7.0.4
Apple QuickTime Player 7.0.3
Apple QuickTime Player 7.0.2
Apple QuickTime Player 7.0.1
Apple QuickTime Player 7.4
Apple QuickTime Player 7.4
Apple QuickTime Player 7.3
Apple QuickTime Player 7.2
Apple QuickTime Player 7.1
Versione non buggata:
Apple QuickTime Player 7.5
Soluzione:
Il produttore ha rilasciato una nuova release, per maggiori info seguire questa pagina (http://www.securityfocus.com/bid/29619/references).
Bugs scoperti da:
Dyon Balding of Secunia Research, Dave Soldera of NGS Software, Jens Alfke, Liam O Murchu of Symantec, TippingPoint's Zero Day Initiative, Vinoo Thomas and Rahul Mohandas of McAfee Avert Labs, Petko D. (pdp) Petkov of GNUCITIZEN and anonymous researchers.
Fonte: SecurityFocus (http://www.securityfocus.com/bid/29619/info)