Apple QuickTime contiene múltiples vulnerabilidades. La explotación de estas vulnerabilidades permitiría a un intruso ejecutar código arbitrario o provocar una negación de servicio de forma remota.
Apple QuickTime ejecutándose en sistemas
La versión 7.5.1 resuelve múltiples vulnerabilidades relacionadas con el manejo de distintos tipos de archivos de imágenes y multimedia. Un intruso puede explotar estas vulnerabilidades convenciendo a un usuario, que cuente con la versión vulnerable de QuickTime, de acceder a archivos de imágenes y multimedia modificados con fines maliciosos. Debido a que QuickTime puede ser configurado para usarse con navegadores Web, un intruso puede aprovechar esto para diseñar su ataque haciendo uso de un sitio Web.
Es importante mencionar que QuickTime interactúa con Apple iTunes.
Más detalles de esta vulnerabilidad se encuentran disponibles en las notas de vulnerabilidad.
Esta vulnerabilidad permite que un intruso pueda, sin previa autenticación, ejecutar código o comandos arbitrarios de forma remota y provocar una negación de servicio.
Actualizar QuickTime
Actualizar QuickTime a la versión 7.1.5. Esta y otras actualizaciones están disponibles por medio de la herramienta “Actualización de software” de Apple.
Para el sistema Windows de Microsoft, la opción “actualización de software” no detectará una nueva versión disponible. Los usuarios de Windows requerirán descargar la actualización haciendo uso de “Apple Software Update” e instalarlo de forma manual.
Deshabilitar QuickTime del navegador Web.
Un intruso podrá diseñar un sitio Web que contenga archivos de imagen y multimedia especialmente modificados para explotar esta vulnerabilidad. Para no ser víctimas de un ataque descargando archivos de un sitio malicioso, es importante desactivar QuickTime del navegador Web. Para más información relacionada con la forma de desactivar la aplicación del navegador Web, referirse a la documentación del navegador de su preferencia.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT