QuickTime 7.3.1 corrige vulnerabilidades críticas


Una actualización de QuickTime (QuickTime 7.3.1), corrige al menos tres vulnerabilidades, incluyendo una recientemente reportada que está siendo explotada en la red. Son afectadas todas las versiones, tanto para Windows como para MacOS, el sistema operativo de MacIntosh.






Según la descripción de Apple, dos de las vulnerabilidades provocan desbordamientos de búfer relacionados con el manejo de ciertos archivos multimedia.

Uno de los problemas está relacionado con la visualización de archivos RTSP (Real Time Streaming Protocol). Este protocolo es utilizado para realizar streaming, técnica de transmisión unidireccional de contenidos de video y audio a través de Internet.

El otro, permite que un atacante que convenza a un usuario para que visualice un archivo .QTL, pueda provocar el fallo del programa, o incluso la ejecución de código de forma arbitraria.

La tercera corrección se refiere en realidad a "múltiples vulnerabilidades" en la reproducción de archivos multimedia en Flash. La más grave de ellas, permite la ejecución remota de código con solo visualizar un video malicioso.

La actualización, deshabilita el manejo de películas en Flash, a excepción de un número limitado de éstas, que se saben son seguras.

La solución de deshabilitar capacidades como forma de proteger al usuario, no parece algo nuevo para Apple. Ya en una actualización anterior (la 7.3), QuickTime había restringido el uso de applets de Java para impedir que código no certificado pudiera tener acceso al programa.


* Descargas:

Apple Downloads (Windows, etc.)
http://www.apple.com/support/downloads/

Instrucciones para descarga desde el programa (Mac OS X)
http://docs.info.apple.com/article.html?artnum=106704-es


* Software afectado:

- Mac OS X v10.3.9
- Mac OS X v10.4.9 o posterior
- Mac OS X v10.5
- Windows Vista
- Windows XP SP2


* Referencias:

CVE-2007-6166 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6166
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-6166

CVE-2007-4706 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4706
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-4706

CVE-2007-4707 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4707
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-4707

CVE (Common Vulnerabilities and Exposures), es la lista de
nombres estandarizados para vulnerabilidades y otras
exposiciones de seguridad que han tomado estado público, la
cuál es operada por cve.mitre.org, corporación patrocinada
por el gobierno norteamericano.


* Más información:

About the security content of QuickTime 7.3.1
http://docs.info.apple.com/article.html?artnum=307176


* Relacionados:

Error de QuickTime explotado activamente en Internet
http://www.vsantivirus.com/03-12-07.htm

Fuente:
por Por Angela Ruiz
http://www.vsantivirus.com



Otras noticias de interés:

Hacker obtiene los archivos del diseño de la lanzadera de la NASA
Dan Verton, reportero de ComputerWorld, recibió los documentos electrónicos pertenecientes al diseño de la una lanzadera de la NASA. Estos documentos fueron enviados por un hacker, para probar que había accedido a los ordenadores del centro. ...
Se lanza la nueva versión de Opera
El nuevo Opera ha demostrado tener la ejcución de Javascript más rápida que la de cualquier otro navegador....
Firefox 2.0.0.8 pronto verá su sucesor
Las actualizaciones de Firefox suelen servir para corregir numerosos errores de la aplicación, pero en esta ocasión a los desarrolladores se les han colado algunos fallos que habían sido solucionados en ediciones previas. Pronto tendremos una vers...
Crack Wep con aircrack en una red wifi
En este artículo el comentarista se coloca desde el punto de vista del intruso e intenta descifrar y acceder a una red wifi, utilizando para ello varias herramientas Windows de libre acceso. Al igual que en este artículo abordamos cómo se realiza ...
SERVIDORES DNS QUE PERMITEN TRANSFERENCIAS DE ZONA
Una manera de saber qué equipos tiene una red es tan sencilla como conectarnos a cualquier servidor DNS y hacernos con la base de datos del DNS. ...
Funcionan mejor los ataques de phishing en móviles
Según un post de Mickey Boodaei, CEO de la empresa de servicios de Seguridad Informática en Internet, Trusteer; los usuarios de teléfonos móviles son tres veces más propensos a ser víctimas de ataques de phishing que los usuarios de escritorio....
Falsos negativos y falsos positivos en antivirus. Problemas para desarrolladores
Hablamos de antivirus. Un falso negativo sucede cuando un antivirus no detecta un malware, cuando deja pasar o ejecutarse un código malicioso en el sistema que está protegiendo. El falso positivo se da cuando el antivirus, por error, identifica com...
Porn dialer - Microsoft ha detectado malware en una actualización de software de Lenovo.
Una actualización de Lenovo incorporaba más elementos que los mencionados en la lista de contenidos. La división antivirus de Microsoft detectó código maligno en un paquete de actualización de software distribuido por Lenovo. ...
Malware hacktivista para Android
blogs.eset-la.com reportam una nueva amenaza que Además de existir campañas en contra de esta aplicación, en esta oportunidad se detectó un código malicioso que inyectado en una versión anterior del video juego (Beta 0.981), presenta una secci...
Los juegos online, una puerta al malware
Los cibercriminales aprovechan que muchos jugadores desactivan sus cortafuegos durante la partida online para infectar sus equipos con facilidad....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • corrige
  • criticas
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • quicktime
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra