Összefoglaló
Az Apple QuickTime két olyan sérülékenységét azonosították, melyet a távoli támadók kihasználhatnak tetszőleges kód futtatására vagy érzékeny információk felfedésére.
Leírás
Az Apple QuickTime két sérülékenységét jelentették, melyet támadók kihasználhatnak érzékeny információk megismerésére vagy a felhasználó rendszerének feltörésére.
-
A QTObject alosztályokban a biztonsági megszorítások tervezési hibája megbízhatatlan Java kódokon keresztül kiaknázható, lehetővé téve a QuickTime objektumok alosztályainak, hogy nem biztonságos függvényeket hívjanak meg a QTJava.dll-ből, ami tetszőleges memória írást-olvasást eredményezi.
A sikeres kiaknázás lehetővé teszi tetszőleges kód lefuttatását Windows és OS X rendszereken, ha a felhasználó Javát engedélyező böngészővel látogatja meg a káros weboldalt.
- A Java appletek kezelésének tervezési hibája kiaknázható a böngésző memóriájának olvasására, ha a felhasználó meglátogat egy káros Java appletet tartalmazó weboldalt.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 25130
Egyéb referencia: secunia.com
Gyártói referencia: docs.info.apple.com
Gyártói referencia: www.apple.com
Gyártói referencia: www.apple.com
Egyéb referencia: secunia.com
Egyéb referencia: www.vupen.com
Egyéb referencia: www.us-cert.gov
CVE-2007-2388 - NVD CVE-2007-2388
CVE-2007-2389 - NVD CVE-2007-2389