elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Corregida una vulnerabilidad de ejecución de código arbitrario en QuickTime ...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Corregida una vulnerabilidad de ejecución de código arbitrario en QuickTime ...  (Leído 1,578 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Corregida una vulnerabilidad de ejecución de código arbitrario en QuickTime ...
« en: 28 Junio 2012, 21:52 pm »

Se ha publicado una vulnerabilidad en el reproductor QuickTime deApple, descubierta por Luigi Auriemma que podría permitir la ejecución de código arbitrario a través un archivo de medios especialmente manipulado.

QuickTime Player es un popular reproductor multimedia extensible presente en los equipos Mac OS X y disponible para sistemas Windows.

La vulnerabilidad, a la que se le ha asignado el CVE-2011-3459, se produce al procesar un fichero de vídeo en los cuáles los 'atoms' tienen distinta longitud de cadena. Estos 'atoms' son bloques de información contenidos dentro de un fichero de vídeo.

Cuando la aplicación efectúa una redimensión de memoria reservada para dichos 'atoms' olvida el espacio correspondiente al carácter de terminación de línea, produciéndose un error de 'off-by-one'. Si un atacante consigue emplazar código malicioso en el segmento del heap, próximo a la cadena vulnerable, este podría ejecutarse al producirse la lectura de dicha cadena.

Un atacante podría causar una denegación de servicio en la aplicación y potencialmente ejecutar código arbitrario a través de un archivo de medios especialmente manipulado. Dichos archivos podrían alojarse en la web y ser invocados a través del navegador via la extensión de QuickTime.

La vulnerabilidad se reportó a Apple el día 21 de Octubre de 2011 yse ha hecho pública 8 meses después (el 27 de junio de 2012).

La última versión de QuickTime Player 7.7.2 corrige esta vulnerabilidad.

Más información:

Descarga de QuickTime Player: http://www.apple.com/QuickTime/download/

Apple QuickTime Dataref URI Buffer Remote Code Execution Vulnerability http://www.zerodayinitiative.com/advisories/ZDI-12-103/

OS X Lion v10.7.3 and Security Update 2012-001: http://support.apple.com/kb/HT5130

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/corregida-una-vulnerabilidad-de-ejecucion-de-codigo-arbitrario-en-quicktime-player


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines