QuickTime Player hiba naplózás puffer túlcsordulás sérülékenysége – Nemzeti Kibervédelmi Intézet

NBSZ-NKI website

QuickTime Player hiba naplózás puffer túlcsordulás sérülékenysége

2010. július 27. 07:09

CH azonosító

CH-3382

Felfedezés dátuma

2010.07.26.

Súlyosság

Érintett rendszerek

Apple
QuickTime

Érintett verziók

Apple QuickTime 7.x

Összefoglaló

A QuickTime Player egy olyan sérülékenységét fedezték fel, melyet a támadók kihasználhatnak a felhasználói rendszerek feltörésére.

Leírás

A sérülékenységet a QuickTimeStreaming.qtx határhibája okozza a hibakereső naplófájlba írandó karakterlánc létrehozásakor. Ez kihasználható egy verem túlcsordulás kiváltására, ha a felhasználó megtekinti egy speciálisan elkészített weboldalt, ami egy túl hosszú az URL-t tartalmazó SMIL fájlra hivatkozik.

A sikeres kiaknázás tetszőleges kód lefuttatását teszi lehetővé.

A sérülékenységet a 7.6.6 (1671) Windows-os verzióban igazolták. Más verziók is érintettek lehetnek.

Megoldás

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-1268 – Canon sebezhetősége

CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége

CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége

CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége

CVE-2025-26630 – Microsoft Access RCE sebezhetősége

CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége

CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége

CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége

CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége

Tovább a sérülékenységekhez »

Ugrás a tetejére