Множественные уязвимости в Apple QuickTime

Дата публикации:
03.04.2008
Дата изменения:
10.06.2008
Всего просмотров:
1823
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-1013
CVE-2008-1014
CVE-2008-1015
CVE-2008-1016
CVE-2008-1017
CVE-2008-1018
CVE-2008-1019
CVE-2008-1020
CVE-2008-1021
CVE-2008-1022
CVE-2008-1023
CVE-2008-1739
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apple QuickTime 7.x
Уязвимые версии: Apple QuickTime версии до 7.4.5

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки в реализации QuickTime for Java, которая позволяет недовереному Java апплету десериализировать объекты, созданные в QTJava. Удаленный пользователь может с помощью специально сформированного Web сайта получить доступ к важным данным и скомпрометировать целевую систему.

2. Уязвимость существует из-за ошибки при обработке внешних URL, встроенных в мультимедийный файл. Удаленный пользователь может получить доступ к потенциально важным данным.

3. Уязвимость существует из-за ошибки при обработке атомов в мультимедийном файле. Удаленный пользователь может с помощью специально сформированного файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки при обработке мультимедийных треков. Удаленный пользователь может с помощью специально сформированного мультимедийного файла вызвать повреждение памяти.

5. Уязвимость существует из-за ошибки в библиотеке quicktime.qts проверки границ данных в "crgn" атоме. Удаленный пользователь может с помощью специально сформированного мультимедийного файла вызвать повреждение динамической памяти и выполнить произвольный код на целевой системе.

6. Уязвимость существует из-за ошибки проверки границ данных в "chan" атоме. Удаленный пользователь может с помощью специально сформированного мультимедийного файла вызвать повреждение динамической памяти и выполнить произвольный код на целевой системе.

7. Уязвимость существует из-за ошибки проверки границ данных в библиотеке quicktime.qts при обработке PICT записей. Удаленный пользователь может с помощью специально сформированного PICT изображения вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

8. Уязвимость существует из-за ошибки проверки границ данных в библиотеке quicktime.qts при обработке сообщений об ошибке при работе с PICT изображениями. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

Примечание: уязвимость не распространяется на Mac OS X системы.

9. Уязвимость существует из-за ошибки проверки границ данных при обработке содержимого кодека Animation. Удаленный пользователь может с помощью специально сформированного мультимедийного файла вызвать повреждение динамической памяти и выполнить произвольный код на целевой системе.

Примечание: уязвимость не распространяется на Mac OS X системы.

10. Уязвимость существует из-за ошибки при обработке "obji" атомов. Удаленный пользователь может с помощью специально сформированного QuickTime VR фильма вызвать переполнение стека и выполнить произвольный код на целевой системе.

11. Уязвимость существует из-за ошибки при обработке кодека Clip. Удаленный пользователь может с помощью специально сформированного PICT изображения вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

URL производителя: www.apple.com/quicktime/

Решение: Установите последнюю версию 7.4.5 с сайта производителя.

QuickTime 7.4.5 for Windows:
http://www.apple.com/support/downloads/quicktime745forwindows.html

QuickTime 7.4.5 for Leopard:
http://www.apple.com/support/downloads/quicktime745forleopard.html

QuickTime 7.4.5 for Panther:
http://www.apple.com/support/downloads/quicktime745forpanther.html

QuickTime 7.4.5 for Tiger:
http://www.apple.com/support/downloads/quicktime745fortiger.html

Журнал изменений:

07.04.2008
Изменено описание уязвимости.

Ссылки: ZDI-08-014: Apple Quicktime Multiple Opcode Memory Corruption Vulnerabilities
ZDI-08-015: Apple QuickTime Clipping Region Heap Overflow Vulnerability
ZDI-08-016: Apple QuickTime MP4A Atom Parsing Heap Corruption Vulnerability
ZDI-08-017: Apple QuickTime Kodak Encoding Heap Overflow Vulnerability
ZDI-08-018: Apple QuickTime Run Length Encoding Heap Overflow Vulnerability
ZDI-08-019: Apple QuickTime Malformed VR obji Atom Parsing Memory Corruption Vulnerability

или введите имя

CAPTCHA