Az Apple QuickTime többszörös sebezhetősége

CH azonosító

CH-792

Felfedezés dátuma

2007.11.05.

Súlyosság

Magas

Érintett rendszerek

Apple
QuickTime

Érintett verziók

Apple QuickTime

Összefoglaló

Az Apple QuickTime többszörös sebezhetőségét vették észre, amelyet kihasználva távoli rosszindulatú felhasználók személyes adatokat szivárogtathatnak ki, illetve átvehetik az irányítást a felhasználók gépe felett.

Leírás

Az Apple QuickTime többszörös sebezhetőségét vették észre, amelyet kihasználva távoli rosszindulatú felhasználók személyes adatokat szivárogtathatnak ki, illetve átvehetik az irányítást a felhasználók gépe felett.
Az első sérülékenység a memória lefagyasztását majd kártékony kód lefuttatását teszi lehetővé azzal, hogy egy előre elkészített videó elindítására veszi rá a gyanútlan felhasználót.
A második sérülékenység egy túlcsordulásban áll,amely hasonló feltételek mellett hasonló eredményt hozhat.
A harmadik sérülékenységet a QuickTime for Java okozza, amely megengedi az appletek számára, hogy jogosultságokat szerezzenek meg.
A negyedik és ötödik sérülékenység a PICT képfeldolgozásban rejlik. Ha sikerül rávenni a felhasználót egy elkészített kép megnyitására, akkor kétféle típusú túlcsordulás történhet, majd kártékony kód futhat le.
A hatodik sérülékenység a QTVR (QuickTime Virtual Reality) videofájlok kezelésében rejlik, ha megnyitnak egy előre elkészített QTVR fájlt, akkor az szintén kártékony kód lefutásának előfeltétele lehet.
A hetedik sérülékenység oka egy olyan túlcsordulásos hiba, amely a mozifájlok megnyitásakor léphet fel és szintén idgene program futásához vezethet.
Az Apple QuickTime valamennyi 7.3 előtti verziója érintett.

Megoldás


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2023-41348 – ASUS RT-AX55 sérülékenysége
CVE-2023-41347 – ASUS RT-AX55 sérülékenysége
CVE-2023-41346 – ASUS RT-AX55 sérülékenysége
CVE-2023-41345 – ASUS RT-AX55 sérülékenysége
CVE-2023-39780 – ASUS RT-AX55 Routers OS Command Injection sérülékenysége
CVE-2025-35939 – Craft CMS External Control of Assumed-Immutable Web Parameter sérülékenysége
CVE-2025-3935 – ConnectWise ScreenConnect Improper Authentication sérülékenysége
CVE-2021-32030 – ASUS Routers Improper Authentication sérülékenysége
CVE-2025-33072 – Microsoft msagsfeedback.azurewebsites.net Information Disclosure sebezhetősége
Tovább a sérülékenységekhez »