QuickTime 7.3.1 corrige vulnerabilidades críticas


Una actualización de QuickTime (QuickTime 7.3.1), corrige al menos tres vulnerabilidades, incluyendo una recientemente reportada que está siendo explotada en la red. Son afectadas todas las versiones, tanto para Windows como para MacOS, el sistema operativo de MacIntosh.






Según la descripción de Apple, dos de las vulnerabilidades provocan desbordamientos de búfer relacionados con el manejo de ciertos archivos multimedia.

Uno de los problemas está relacionado con la visualización de archivos RTSP (Real Time Streaming Protocol). Este protocolo es utilizado para realizar streaming, técnica de transmisión unidireccional de contenidos de video y audio a través de Internet.

El otro, permite que un atacante que convenza a un usuario para que visualice un archivo .QTL, pueda provocar el fallo del programa, o incluso la ejecución de código de forma arbitraria.

La tercera corrección se refiere en realidad a "múltiples vulnerabilidades" en la reproducción de archivos multimedia en Flash. La más grave de ellas, permite la ejecución remota de código con solo visualizar un video malicioso.

La actualización, deshabilita el manejo de películas en Flash, a excepción de un número limitado de éstas, que se saben son seguras.

La solución de deshabilitar capacidades como forma de proteger al usuario, no parece algo nuevo para Apple. Ya en una actualización anterior (la 7.3), QuickTime había restringido el uso de applets de Java para impedir que código no certificado pudiera tener acceso al programa.


* Descargas:

Apple Downloads (Windows, etc.)
http://www.apple.com/support/downloads/

Instrucciones para descarga desde el programa (Mac OS X)
http://docs.info.apple.com/article.html?artnum=106704-es


* Software afectado:

- Mac OS X v10.3.9
- Mac OS X v10.4.9 o posterior
- Mac OS X v10.5
- Windows Vista
- Windows XP SP2


* Referencias:

CVE-2007-6166 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6166
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-6166

CVE-2007-4706 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4706
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-4706

CVE-2007-4707 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4707
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-4707

CVE (Common Vulnerabilities and Exposures), es la lista de
nombres estandarizados para vulnerabilidades y otras
exposiciones de seguridad que han tomado estado público, la
cuál es operada por cve.mitre.org, corporación patrocinada
por el gobierno norteamericano.


* Más información:

About the security content of QuickTime 7.3.1
http://docs.info.apple.com/article.html?artnum=307176


* Relacionados:

Error de QuickTime explotado activamente en Internet
http://www.vsantivirus.com/03-12-07.htm

Fuente:
por Por Angela Ruiz
http://www.vsantivirus.com



Otras noticias de interés:

MP3. Un formato que se volvío Cobrador
Thomson, propietario legal de la patente sobre el formato MP3, ha decidido dar una vuelta de tuerca más sobre el popular formato de audio, al que transforma un poco más en un sistema de pago....
Denegación de servicio a través de ficheros adjuntos en Outlook 2007
Sarid Harper de la empresa danesa CSIS Security Group descubrió el pasado mes de septiembre esta vulnerabilidad que puso en conocimiento de Microsoft a través de sus canales oficiales....
Boletines de seguridad publicados por Microsoft en septiembre
El martes 14/09/2010 Microsoft ha publicado nueve boletines de seguridad (del MS10-061 al MS10-069) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cuatro de los boletines presentan un nivel de gr...
Tres nuevos parches para IIS, Windows 2000 y Windows XP
Sigue Microsoft dacando parches --- Otro nuevo paquete de boletines lanzados por Microsoft, cubre vulnerabilidades de tres de sus productos, siendo algunos de estos considerados críticos para la seguridad de los mismos. ...
NUEVA VERSION DEL PRINCIPAL MODELO CLIMATICO GLOBAL
El National Center for Atmospheric Research (NCAR) acaba de dar a conocer la poderosa nueva versión del sistema basado en supercomputadores que permite modelar el clima terrestre y proyectar en el futuro el aumento de las temperaturas que la Tierra ...
Píratas Informáticos invaden Twitter
Hay ciertos datos sobre las redes sociales que raras veces salen a la luz pública. Quizás porque no interesa, quizás porque perjudica la imagen de marca, lo cierto es que las redes sociales en especial Twitter han sufrido en innumerables ocasiones...
Plataforma japonesa espera competir con Intel y Microsoft
Los fabricantes japoneses de informática promoverán el uso de una plataforma local llamada TRON que competirá con el monopolio de los sistemas para aparatos de consumo masivo de las norteamericanas Intel y Microsoft, informaron fuentes industriale...
Forma simple de probar los ordenadores cuánticos
Físicos de Canadá han inventado una nueva forma de probar los componentes ópticos que podrían algún día usarse para construir ordenadores cuánticos. Afirman que su técnica es mucho más simple que las pruebas convencionales porque usa una luz...
La seguridad de la información sortea la crisis
Las organizaciones siguen invirtiendo en seguridad al mismo ritmo que antes e incluso con más fuerza....
LinkedIn posible vulnerabilidades de seguridad
Días después de la exitosa salida a Bolsa de LinkedIn, un investigador de seguridad asegura que la compañía tiene vulnerabilidades que permitirían a un atacantes acceder a las cuentas de los usuarios....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • corrige
  • criticas
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • quicktime
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra