Az Apple QuickTime többszörös sebezhetősége

CH azonosító

CH-792

Felfedezés dátuma

2007.11.05.

Súlyosság

Magas

Érintett rendszerek

Apple
QuickTime

Érintett verziók

Apple QuickTime

Összefoglaló

Az Apple QuickTime többszörös sebezhetőségét vették észre, amelyet kihasználva távoli rosszindulatú felhasználók személyes adatokat szivárogtathatnak ki, illetve átvehetik az irányítást a felhasználók gépe felett.

Leírás

Az Apple QuickTime többszörös sebezhetőségét vették észre, amelyet kihasználva távoli rosszindulatú felhasználók személyes adatokat szivárogtathatnak ki, illetve átvehetik az irányítást a felhasználók gépe felett.
Az első sérülékenység a memória lefagyasztását majd kártékony kód lefuttatását teszi lehetővé azzal, hogy egy előre elkészített videó elindítására veszi rá a gyanútlan felhasználót.
A második sérülékenység egy túlcsordulásban áll,amely hasonló feltételek mellett hasonló eredményt hozhat.
A harmadik sérülékenységet a QuickTime for Java okozza, amely megengedi az appletek számára, hogy jogosultságokat szerezzenek meg.
A negyedik és ötödik sérülékenység a PICT képfeldolgozásban rejlik. Ha sikerül rávenni a felhasználót egy elkészített kép megnyitására, akkor kétféle típusú túlcsordulás történhet, majd kártékony kód futhat le.
A hatodik sérülékenység a QTVR (QuickTime Virtual Reality) videofájlok kezelésében rejlik, ha megnyitnak egy előre elkészített QTVR fájlt, akkor az szintén kártékony kód lefutásának előfeltétele lehet.
A hetedik sérülékenység oka egy olyan túlcsordulásos hiba, amely a mozifájlok megnyitásakor léphet fel és szintén idgene program futásához vezethet.
Az Apple QuickTime valamennyi 7.3 előtti verziója érintett.

Megoldás