QuickTime Player hiba naplózás puffer túlcsordulás sérülékenysége – Nemzeti Kibervédelmi Intézet

NBSZ-NKI website

QuickTime Player hiba naplózás puffer túlcsordulás sérülékenysége

2010. július 27. 07:09

CH azonosító

CH-3382

Felfedezés dátuma

2010.07.26.

Súlyosság

Érintett rendszerek

Apple
QuickTime

Érintett verziók

Apple QuickTime 7.x

Összefoglaló

A QuickTime Player egy olyan sérülékenységét fedezték fel, melyet a támadók kihasználhatnak a felhasználói rendszerek feltörésére.

Leírás

A sérülékenységet a QuickTimeStreaming.qtx határhibája okozza a hibakereső naplófájlba írandó karakterlánc létrehozásakor. Ez kihasználható egy verem túlcsordulás kiváltására, ha a felhasználó megtekinti egy speciálisan elkészített weboldalt, ami egy túl hosszú az URL-t tartalmazó SMIL fájlra hivatkozik.

A sikeres kiaknázás tetszőleges kód lefuttatását teszi lehetővé.

A sérülékenységet a 7.6.6 (1671) Windows-os verzióban igazolták. Más verziók is érintettek lehetnek.

Megoldás

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége

CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége

CVE-2025-20271 – Cisco AnyConnect VPN sérülékenység

CVE-2025-43200 – Apple Multiple Products Unspecified sérülékenysége

CVE-2023-0386 – Linux Kernel Improper Ownership Management sebezhetősége

CVE-2023-33538 – TP-Link Multiple Routers Command Injection sérülékenysége

CVE-2025-3464 – Asus Armoury Crate AsIO3.sys authorization bypass sérülékenysége

CVE-2025-4123 – Grafana cross-site scripting (XSS) sebezhetősége

CVE-2025-33073 – Windows SMB Client Elevation of Privilege sérülékenysége

Tovább a sérülékenységekhez »

Ugrás a tetejére