Apple устранила 9 брешей в приложении QuickTime для Windows

image

Теги: брешь, эксплуатация, произвольный код, Apple

Эксплуатация уязвимостей позволяла выполнение произвольного кода.

Компания Apple выпустила обновление 7.7.8 для приложения QuickTime для Windows, в котором устранены в общей сложности 9 уязвимостей повреждения памяти (CVE-2015-3788, CVE-2015-3789, CVE-2015-3790, CVE-2015-3791, CVE-2015-3792, CVE-2015-5751, CVE-2015-5779, CVE-2015-5785 , CVE-2015-5786), эксплуатация которых позволяла осуществить аварийное завершение работы программы или выполнить произвольный код.

Бреши были обнаружены специалистами Cisco Talos Райаном Пентни (Ryan Pentney) и Ричардом Джонсоном (Richard Johnson), экспертами из Fortinet FortiGuard Labs, собственной командой безопасности Apple и исследователем под псевдонимом WalkerFuz.

По словам специалистов Cisco Talos, бреши существуют из-за ошибки повреждения памяти при обработке медиафайлов.

«Apple Quicktime содержит ряд уязвимостей повреждения памяти. При помощи специально сформированного файла .MOV атакующий может осуществить аварийное завершение работы приложения», - указано в бюллетене безопасности Cisco Talos.

Ранее в этом месяце Apple выпустила обновления для своих продуктов OS X, OS X Server, iOS и Safari, в которых устранены в общей сложности 100 брешей. По данным интернет-портала SecurityWeek, спустя короткое время после выхода обновлений итальянский эксперт Лука Тодеско (Luca Todesco) сообщил об уязвимости нулевого дня в OS X Yosemite, позволяющей локальное повышение привилегий. Брешь затрагивает все версии операционной системы.

Специалист не проинформировал Apple о своей находке, однако опубликовал экплоит для уязвимости на портале для разработчиков GitHub. Похоже, что производитель осведомлен о проблеме, поскольку в новой версии OS X 10.11 El Capitan брешь уже устранена.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.