Множественные уязвимости в Apple QuickTime
| Дата публикации: | 22.01.2009 |
| Всего просмотров: | 2837 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2009-0001 CVE-2009-0002 CVE-2009-0003 CVE-2009-0004 CVE-2009-0005 CVE-2009-0006 CVE-2009-0007 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Apple QuickTime 7.x |
| Уязвимые версии: Apple QuickTime версии до 7.6
Описание: 1. Уязвимость существует из-за ошибки проверки границ данных при обработке RTSP URL. Удаленный пользователь может с помощью специально сформированного RTSP URL вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. 2. Уязвимость существует из-за некорректной проверки данных матрицы преобразования при обработке Track Header (THKD) атомов в QuickTime Virtual Reality (QTVR) видео файлах. Удаленный пользователь может с помощью специально сформированного QTVR файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. 3. Уязвимость существует из-за ошибки при обработке "nBlockAlign" значений структуры "_WAVEFORMATEX" в заголовках AVI файлов. Удаленный пользователь может с помощью специально сформированного AVI файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. 4. Уязвимость существует из-за ошибки проверки границ данных при обработке MPEG-2 видео файлов, содержащих MP3 аудио контент. Удаленный пользователь может с помощью специально сформированного видео файла вызвать переполнение буфера и выполнить произвольный код на целевой системе. 5. Уязвимость существует из-за неизвестной ошибки при обработке H.263 кодированных видео файлов. Удаленный пользователь может с помощью специально сформированного видео файла вызвать повреждение памяти и выполнить произвольный код на целевой системе. 6. Уязвимость существует из-за знаковой ошибки при обработке MDAT атомов в Cinepak кодированных видео файлах. Удаленный пользователь может с помощью специально сформированного видео файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. 7. Уязвимость существует из-за ошибки в функции JPEG_DComponentDispatch() при обработке ширины изображений в JPEG атомах, встроенных в STSD атомы. Удаленный пользователь может с помощью специально сформированного видео файла вызвать повреждение памяти и выполнить произвольный код на целевой системе. URL производителя: www.apple.com/quicktime/ Решение: Установите последнюю версию 7.6 с сайта производителя.
QuickTime 7.6 for Windows: |
|
| Ссылки: |
About the security content of QuickTime 7.6 ZDI-09-005: Apple QuickTime VR Track Header Atom Heap Corruption Vulnerability ZDI-09-006: Apple QuickTime AVI Header nBlockAlign Heap Corruption Vulnerability ZDI-09-007: Apple QuickTime Cinepak Codec MDAT Heap Corruption Vulnerability ZDI-09-008: Apple QuickTime STSD JPEG Atom Heap Corruption Vulnerability |