Desbordamiento de búfer en Apple QuickTime ActiveX


El componente Activex de Apple QuickTime v5.0.2 se ve afectado por una vulnerabilidad que permitiría un ataque DoS y la posterior ejecución de código.





Apple QuickTime es un reproductor multimedia, que según datos de Apple en su versión 5.0 ha tenido una cifra de 100 millones de descargas. El componente afectado es usado para insertar películas en un una página Web.

Existe un desbordamiento de búfer provocado por la forma en que el componente ActiveX de QuickTime trata el campo "pluginspage" cuando se analiza desde una página html maliciosa local o remota. Este problema puede permitir la ejecución de código en el ordenador remoto al visualizar dicha página web.

Este mismo tipo de vulnerabilidad afectó a Internet Explorer 5.5 SP2 y 6.0 a principios de año.

Para explotar esta vulnerabilidad el atacante deberá conseguir que la víctima abra una página html que contenga el código que explota esta vulnerabilidad.

Apple Computer ha puesto a disposición de los usuarios de QuickTime una versión revisada, la 6, que se puede bajar desde el sitio:
http://www.apple.com/quicktime/

Más Información:

Apple QuickTime ActiveX Buffer Overrun
http://www.securiteam.com/windowsntfocus/5NP0B0A8AS.html

Quicktime
http://www.apple.com/quicktime

Fuente:Hispasec

Otras noticias de interés:

WPA y WPA2 también son vulnerables, ya no hay seguridad en las redes WiFi
La empresa de seguridad Global Secure System, ha comprobado que las conexiones inalámbricas por WiFi, protegidas por medio de WPA y WPA2 (ni hablemos de WEP), quedan reducidas a nada, ahora que pueden aprovechar la potencia de procesamiento de tarje...
Nueva versión de PHP corrige algunos Bugs
El pasado 16 septiembre PHP.net actualizó su versión estable a la 5.2.11. En esta versión ha solucionado varios fallos de seguridad....
Mozilla Labs: BrowserID,identidad desde el navegador
Este proyecto intenta brindar una solución a un problema que hace rato aqueja la Web, cuando tenemos que recordar muchas combinaciones de usuario y contraseña para diferentes sitios que usamos....
Inyección de código en Internet Explorer vía FTP
Internet Explorer permite ejecutar scripts y comandos de forma arbitraria a través de una vulnerabilidad existente en la funcionalidad Habilitar la lista de carpetas para los sitios FTP activada por defecto. En el momento de redactar esta nota no ...
6to Aniversario de Ubuntu-ve
Ubuntu-ve Cumple seis años en la ardua lucha de difusión de Ubuntu y Software Libre en Venezuela, una tarea nada fácil pero muy gratificante. desde el comienzo cuando fuimos aprobados el 21-07-2006; nuestros fundadores fueron dando pasos, algunos ...
Google soluciona falla que permite a hacker cosechar correos de Gmail
Google ha parchado una vulnerabilidad en Gmail que permita a un hacker cosechar las direcciones de correo almacenadas en una cuenta con simplemente hacer que usuario navegue por una página web especialmente diseñada, según MSNBC. Un joven de 21 a...
Alexander Garzon (Director PHP de Venezuela) en entrevista con Juventud en Línea
El día 11 de Junio en la ciudad de Caracas, en las instalaciones de RNV Radio Nacional de Venezuela Activa 103.9 FM fue entrevistado el Señor Alexander Garzon en el Programa Radial Juventud en Línea conducido por Joan Bouque...
Microsoft corrige problema con SVCHOST.EXE
Microsoft publicó una actualización para un problema provocado por otra actualización anterior que corregía un error similar. Concretamente bajo determinadas circunstancias, SVCHOST.EXE puede consumir el 100 por ciento de los recursos del pro...
El formato HD-DVD llega a BitTorrent
Copias de alta calidad de películas en formato HD-DVD ya han comenzado a circular en Internet vía BitTorrent. ...
Jaqueado el lector de huellas dactilares de Microsoft
Conéctate con tu dedo. Di adiós a las contraseñas. Así dice -aún- la página sobre Microsoft Fingerprint Reader, el lector de huellas dactilares de Microsoft que acaba de ser jaqueado por Mikko Kiviharju, un investigador que trabaja para el ej...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • activex
  • anonimato
  • anonimo
  • antivirus
  • apache
  • apple
  • blog
  • bsd
  • bufer
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • desbordamiento
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • quicktime
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra