c.m.g
11-09-2008, 09:14
09 settembre 2008
Security Focus (http://www.securityfocus.com) riporta un bollettino di sicurezza (Bugtraq ID: 31086 (http://www.securityfocus.com/bid/31086/info)) in cui si spiega che sono state trovate multiple vulnerabilità in Apple QuickTime che esporrebbero ad attacchi di esecuzione di codice arbitrario malevolo e denial-of-service (DoS) da remoto.
Gli attacchi sono possibili grazie alla manipolazione errata del programma di alcune immagini di file PICT, video di tipo QTVR e vari altri formati video creati ad hoc da malintenzionati. Lo sfruttranmento con successo delle falle porta come risultato che un attacker può guadagnare un accesso remoto non autorizzato al sistema nel contesto dell'user in esecuzione, esecuzione di codice arbitrario malevolo e portare il sistema ad una condizione di denial-of-service (DoS).
Le vulnerabilità sono state confermate nelle versioni antecedenti QuickTime 7.5.5.
più in dettaglio (versioni vulnerabili):
Vulnerable: Apple QuickTime Player 7.4.5
+ Apple Mac OS X 10.4.9
+ Apple Mac OS X 10.3.9
+ Apple Mac OS X 10.5
+ Apple Mac OS X Server 10.4.9
+ Apple Mac OS X Server 10.3.9
+ Apple Mac OS X Server 10.5
Apple QuickTime Player 7.4.1
Apple QuickTime Player 7.3.1 .70
Apple QuickTime Player 7.3.1
Apple QuickTime Player 7.1.6
Apple QuickTime Player 7.1.5
Apple QuickTime Player 7.1.4
Apple QuickTime Player 7.1.3
Apple QuickTime Player 7.1.2
Apple QuickTime Player 7.1.1
Apple QuickTime Player 7.0.4
Apple QuickTime Player 7.0.3
Apple QuickTime Player 7.0.2
Apple QuickTime Player 7.0.1
Apple QuickTime Player 7.0
Apple QuickTime Player 7.5
Apple QuickTime Player 7.4
Apple QuickTime Player 7.4
Apple QuickTime Player 7.3
Apple QuickTime Player 7.2
Apple QuickTime Player 7.1
Soluzione:
Il produttore ha rilasciato dei bollettini di sicurezza e delle patch. seguire questa pagina (http://www.securityfocus.com/bid/31086/solution) per maggiori info.
Falle scoperte da:
Paul Byrne of NGSSoftware, TippingPoint's Zero Day Initiative, Roee Hay of IBM Rational Application Security Research Group, David Wharton, Sergio 'shadown' Alvarez of n.runs AG and iDefense
Fonte: SecurityFocus (http://www.securityfocus.com/bid/31086/info)
Security Focus (http://www.securityfocus.com) riporta un bollettino di sicurezza (Bugtraq ID: 31086 (http://www.securityfocus.com/bid/31086/info)) in cui si spiega che sono state trovate multiple vulnerabilità in Apple QuickTime che esporrebbero ad attacchi di esecuzione di codice arbitrario malevolo e denial-of-service (DoS) da remoto.
Gli attacchi sono possibili grazie alla manipolazione errata del programma di alcune immagini di file PICT, video di tipo QTVR e vari altri formati video creati ad hoc da malintenzionati. Lo sfruttranmento con successo delle falle porta come risultato che un attacker può guadagnare un accesso remoto non autorizzato al sistema nel contesto dell'user in esecuzione, esecuzione di codice arbitrario malevolo e portare il sistema ad una condizione di denial-of-service (DoS).
Le vulnerabilità sono state confermate nelle versioni antecedenti QuickTime 7.5.5.
più in dettaglio (versioni vulnerabili):
Vulnerable: Apple QuickTime Player 7.4.5
+ Apple Mac OS X 10.4.9
+ Apple Mac OS X 10.3.9
+ Apple Mac OS X 10.5
+ Apple Mac OS X Server 10.4.9
+ Apple Mac OS X Server 10.3.9
+ Apple Mac OS X Server 10.5
Apple QuickTime Player 7.4.1
Apple QuickTime Player 7.3.1 .70
Apple QuickTime Player 7.3.1
Apple QuickTime Player 7.1.6
Apple QuickTime Player 7.1.5
Apple QuickTime Player 7.1.4
Apple QuickTime Player 7.1.3
Apple QuickTime Player 7.1.2
Apple QuickTime Player 7.1.1
Apple QuickTime Player 7.0.4
Apple QuickTime Player 7.0.3
Apple QuickTime Player 7.0.2
Apple QuickTime Player 7.0.1
Apple QuickTime Player 7.0
Apple QuickTime Player 7.5
Apple QuickTime Player 7.4
Apple QuickTime Player 7.4
Apple QuickTime Player 7.3
Apple QuickTime Player 7.2
Apple QuickTime Player 7.1
Soluzione:
Il produttore ha rilasciato dei bollettini di sicurezza e delle patch. seguire questa pagina (http://www.securityfocus.com/bid/31086/solution) per maggiori info.
Falle scoperte da:
Paul Byrne of NGSSoftware, TippingPoint's Zero Day Initiative, Roee Hay of IBM Rational Application Security Research Group, David Wharton, Sergio 'shadown' Alvarez of n.runs AG and iDefense
Fonte: SecurityFocus (http://www.securityfocus.com/bid/31086/info)