Переполнение буфера в Apple QuickTime
[B]15 января, 2008[/B]
[B]Программа:[/B] Apple QuickTime 7.3.1.70, возможно более ранние версии
[B]Опасность: [COLOR=darkred]Критическая[/COLOR][/B]
[B]Наличие эксплоита: [COLOR=red]Да[/COLOR][/B]
[B]Описание: [/B]
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за ошибки проверки границ данных при обработке RTSP ответов. Удаленный пользователь может с помощью специально сформированного ответа, содержащего слишком длинную строку "Reason-Phrase", вызвать переполнение буфера и выполнить произвольный код на целевой системе.
[B]URL производителя: [/B][URL="http://www.apple.com/quicktime/"][COLOR=#0000ff]www.apple.com/quicktime/[/COLOR][/URL]
[B]Решение: [/B]Способов устранения уязвимости не существует в настоящее время.
[URL="http://www.securitylab.ru/vulnerability/311616.php"]securitylab.ru[/URL]
Множественные уязвимости в Apple QuickTime
[B]16 января, 2008[/B]
[B]Программа:[/B] Apple QuickTime версии до 7.4
[B]Опасность: [COLOR=red]Высокая[/COLOR][/B]
[B]Наличие эксплоита: [COLOR=green]Нет[/COLOR][/B]
[B]Описание: [/B]
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольный код на целевой системе.
1. Уязвимость существует из-за неизвестной ошибки при обработке Sorenson 3 видеофайлов. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
2. Уязвимость существует из-за ошибки при обработке Macintosh Resources, встроенных в QuickTime файлы. Удаленный пользователь может с помощью специально сформированного QuickTime файла, содержащего слишком длинное значение длины в заголовке, вызвать повреждение памяти и выполнить произвольный код на целевой системе.
3. Уязвимость существует из-за ошибки при обработке Image Descriptor (IDSC) атомов. Удаленный пользователь может с помощью специально сформированного файла вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.
4. Уязвимость существует из-за ошибки проверки границ данных при обработке сжатых PICT изображений. Удаленный пользователь может с помощью специально сформированного PICT изображения вызвать переполнение буфера и выполнить произвольный код на целевой системе.
[B]URL производителя: [/B][URL="http://www.apple.com/quicktime/"][COLOR=#0000ff]www.apple.com/quicktime/[/COLOR][/URL]
[B]Решение: [/B]Установите последнюю версию 7.4 с сайта производителя. QuickTime 7.4 for Leopard:
[URL="http://www.securitylab.ru/bitrix/exturl.php?goto=http%3A%2F%2Fwww.apple.com%2Fsupport%2Fdownloads%2Fquicktime74forleopard.html"][COLOR=#0000ff]http://www.apple.com/support/downloads/quicktime74forleopard.html[/COLOR][/URL]
QuickTime 7.4 for Tiger:
[URL="http://www.securitylab.ru/bitrix/exturl.php?goto=http%3A%2F%2Fwww.apple.com%2Fsupport%2Fdownloads%2Fquicktime74fortiger.html"][COLOR=#0000ff]http://www.apple.com/support/downloads/quicktime74fortiger.html[/COLOR][/URL]
QuickTime 7.4 for Panther:
[URL="http://www.securitylab.ru/bitrix/exturl.php?goto=http%3A%2F%2Fwww.apple.com%2Fsupport%2Fdownloads%2Fquicktime74forpanther.html"][COLOR=#0000ff]http://www.apple.com/support/downloads/quicktime74forpanther.html[/COLOR][/URL]
QuickTime 7.4 for Windows:
[URL="http://www.apple.com/support/downloads/quicktime74forwindows.html"][COLOR=#0000ff]http://www.apple.com/support/downloads/quicktime74forwindows.html[/COLOR][/URL]
[URL="http://www.securitylab.ru/vulnerability/311711.php"]securitylab.ru[/URL]
