QuickTime 7.3.1 corrige vulnerabilidades críticas


Una actualización de QuickTime (QuickTime 7.3.1), corrige al menos tres vulnerabilidades, incluyendo una recientemente reportada que está siendo explotada en la red. Son afectadas todas las versiones, tanto para Windows como para MacOS, el sistema operativo de MacIntosh.






Según la descripción de Apple, dos de las vulnerabilidades provocan desbordamientos de búfer relacionados con el manejo de ciertos archivos multimedia.

Uno de los problemas está relacionado con la visualización de archivos RTSP (Real Time Streaming Protocol). Este protocolo es utilizado para realizar streaming, técnica de transmisión unidireccional de contenidos de video y audio a través de Internet.

El otro, permite que un atacante que convenza a un usuario para que visualice un archivo .QTL, pueda provocar el fallo del programa, o incluso la ejecución de código de forma arbitraria.

La tercera corrección se refiere en realidad a "múltiples vulnerabilidades" en la reproducción de archivos multimedia en Flash. La más grave de ellas, permite la ejecución remota de código con solo visualizar un video malicioso.

La actualización, deshabilita el manejo de películas en Flash, a excepción de un número limitado de éstas, que se saben son seguras.

La solución de deshabilitar capacidades como forma de proteger al usuario, no parece algo nuevo para Apple. Ya en una actualización anterior (la 7.3), QuickTime había restringido el uso de applets de Java para impedir que código no certificado pudiera tener acceso al programa.


* Descargas:

Apple Downloads (Windows, etc.)
http://www.apple.com/support/downloads/

Instrucciones para descarga desde el programa (Mac OS X)
http://docs.info.apple.com/article.html?artnum=106704-es


* Software afectado:

- Mac OS X v10.3.9
- Mac OS X v10.4.9 o posterior
- Mac OS X v10.5
- Windows Vista
- Windows XP SP2


* Referencias:

CVE-2007-6166 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6166
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-6166

CVE-2007-4706 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4706
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-4706

CVE-2007-4707 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4707
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-4707

CVE (Common Vulnerabilities and Exposures), es la lista de
nombres estandarizados para vulnerabilidades y otras
exposiciones de seguridad que han tomado estado público, la
cuál es operada por cve.mitre.org, corporación patrocinada
por el gobierno norteamericano.


* Más información:

About the security content of QuickTime 7.3.1
http://docs.info.apple.com/article.html?artnum=307176


* Relacionados:

Error de QuickTime explotado activamente en Internet
http://www.vsantivirus.com/03-12-07.htm

Fuente:
por Por Angela Ruiz
http://www.vsantivirus.com



Otras noticias de interés:

La versión 3.6.2 de Firefox soluciona el 0 day que se conoció hace un mes
Mozilla por fin ha publicado oficialmente la versión 3.6.2 del navegador Firefox que soluciona (entre otros) un fallo de seguridad que estaba siendo aprovechado por atacantes y del que se rumoreaba desde hace un mes. Por su parte (en su dinámica ha...
Arreglada vulnerabilidad de Chrome en 24 horas
Estos días se está celebrando el Google’s Pwnium, una competición auspiciada por Google en el marco de la conferencia de seguridad CanSecWest, con el que Google reta a los expertos en seguridad a buscar vulnerabilidades en Chrome. Para animar la...
Las herramientas para crear virus, una de las principales causas del aumento del malware
Según PandaLabs, se ha detectado una nueva herramienta BitTera.C, que permite a los ciberdelincuentes crea malware de una forma muy fácil. ...
APORREA URGENTE
EL ARTE DE LA GUERRA El arte de la guerra se basa en el engaño. Por lo tanto, cuando es capaz de atacar, ha de aparentar incapacidad; cuando las tropas se mueven, aparentar inactividad. Si está cerca del enemigo, ha de hacerle creer que ...
Un fallo en las memorias USB pone en riesgo la seguridad de la información
Las unidades de almacenamiento USB no sólo son susceptibles portadoras de virus y malware en general, sino que podrían incluir vulnerabilidades peligrosas....
Podcasting una nueva forma de ganar dinero por Internet
Desde ciertos ámbitos se habla ya del inicio de una revolución en la forma de recibir los contenidos televisivos que va a cambiar la relación de la audiencia con los proveedores de esos programas y también la de éstos con los anunciantes. Uno de...
Halloween, una oportunidad para los cibercriminales
Trend Micro da las claves para reconocer y evitar las estafas online. Los cibercriminales están al acecho cualquier día del año, pero ven las grandes fiestas, como Halloween o Navidad, el momento idóneo para difundir malware. Por ello, el equipo ...
RedHat actualiza el kernel
RedHat ya tiene disponible la actualización que soluciona la vulnerabilidad capaz de provocar una acción de denegación de servicio (D.o.S) a nivel local, en el Kernel de Linux (ver Denegación de servicio en el kernel 2.4 de Linux....
Ordenadores con XP llaman a Microsoft a diario: Microsoft nos espía
Según informan hoy diversos medios, Microsoft reconoció ayer que su herramienta Windows Genuine Advantage (que verifica si el software del usuario de Windows XP dispone de una licencia legal) se comunica con Microsoft a diario, horas después de qu...
Web bugs: ¿Fuente de sabiduría, o amenaza para la privacidad?
Los web bugs (también conocidos como balizas Web) son el siguiente paso a las cookies en el empeño por obtener datos de comportamientos de usuarios. La técnica consiste en insertar un recurso en nuestra página o mensaje de correo electrónico (...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • corrige
  • criticas
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • quicktime
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra