Forum: HispaMSX BBS

=?iso-8859-1?q?una-al-dia_=2811/09/2008=29_Apple_publica_una_actualizac

From noticias@hispasec.com@2:341/201.99 to All on Fri Sep 12 14:15:02 2008

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-d�a 11/09/2008
Todos los d�as una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Apple publica una actualizaci�n para QuickTime
----------------------------------------------

Apple lanz� el pasado martes una actualizaci�n de seguridad que solventa m�ltiples vulnerabilidades en QuickTime.

Tambi�n se han publicado actualizaciones para iTunes, iPod Touch y en la versi�n para Windows de Bonjour que describiremos en otra noticia.

A continuaci�n se detallan las vulnerabilidades solventadas en Quicktime
7.7.5, de las cuales ocho son cr�ticas y las cuatro primeras s�lo
afectan a la versi�n para Windows.

1- Un problema de acceso a memoria no inicializada en el c�dec Indeo v5
(no incluido en QuickTime por defecto) podr�a ser aprovechado por un
atacante remoto para hacer que la aplicaci�n deje de responder o
ejecutar c�digo arbitrario si se abre un archivo de v�deo especialmente modificado.

2- Un desbordamiento de b�fer basado en pila en el c�dec Indeo v3.2
podr�a ser aprovechado por un atacante remoto para hacer que la
aplicaci�n deje de responder o ejecutar c�digo arbitrario.

3- Un desbordamiento de enteros causado por un manejo incorrecto de
archivos de imagen PICT, que podr�a ser aprovechado, por medio de una
imagen especialmente manipulada, para causar una denegaci�n de servicio
o ejecutar c�digo arbitrario.

4- Un fallo al intentar acceder a un puntero no v�lido durante el manejo
de im�genes PICT podr�a ser aprovechado para causar una denegaci�n de
servicio o ejecutar c�digo arbitrario.

5- Un desbordamiento de b�fer basado en heap al procesar archivos QTVR (QuickTime Virtual Reality) que podr�a ser aprovechado para causar una denegaci�n de servicio o ejecutar c�digo arbitrario.

6- Un problema de desbordamiento de b�fer basado en pila al procesar
archivos QTVR (QuickTime Virtual Reality) que podr�a ser aprovechado,
por medio de un archivo especialmente manipulado, para causar una
denegaci�n de servicio o ejecutar c�digo arbitrario.

7- Un problema de corrupci�n de memoria durante el manejo de �tomos STSZ
en archivos de v�deo que podr�a ser aprovechado para causar una
denegaci�n de servicio o ejecutar c�digo arbitrario.

8- M�ltiples problemas de corrupci�n de memoria en el manejo de archivos
de v�deo codificados con H.264, que podr�an causar una denegaci�n de
servicio o permitir la ejecuci�n de c�digo arbitrario.

9- Un intento de lectura fuera de l�mites al manejar im�genes PICT
podr�a causar que la aplicaci�n se cerrase de forma inesperada.

Todas las actualizaciones pueden ser instaladas a trav�s de las
funcionalidades de actualizaci�n autom�tica (Software Update) de Apple,
a trav�s de iTunes o, seg�n versi�n y plataforma, descarg�ndolas
directamente desde:
http://www.apple.com/support/downloads/

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3610/comentar

M�s informaci�n:

An inside look at Apple�s sneaky iTunes 8 upgrade http://blogs.zdnet.com/Bott/?p=536

About the security content of QuickTime 7.5.5 http://support.apple.com/kb/HT3027

Pablo Molina
pmolina@hispasec.com

Tal d�a como hoy:
-----------------

11/09/2007: Contrase�as de embajadores a trav�s de la red TOR
http://www.hispasec.com/unaaldia/3244

11/09/2006: Microsoft publicar� ma�ana tres actualizaciones de seguridad
http://www.hispasec.com/unaaldia/2879

11/09/2005: Desbordamiento de b�fer en Firefox 1.x por problema en tratamiento de URLs
http://www.hispasec.com/unaaldia/2514

11/09/2004: Vulnerabilidad de ejecuci�n de c�digo en Winzip
http://www.hispasec.com/unaaldia/2149

11/09/2003: Vulnerabilidades por desbordamiento de b�fer en Pine
http://www.hispasec.com/unaaldia/1782

11/09/2002: Cr�nica del congreso VII RECSI
http://www.hispasec.com/unaaldia/1417

11/09/2001: Gusano "Code Blue", un suced�neo de "Code Red"
http://www.hispasec.com/unaaldia/1052

11/09/2000: "Pikachu", la "pokeman�a" llega a los ordenadores
http://www.hispasec.com/unaaldia/687

11/09/1999: Windows NT sigue olvidando ficheros sensibles
http://www.hispasec.com/unaaldia/319

-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)

Who's Online
Recent Visitors
- Guest
  from Polaris, Alpha Centauri via Telnet
- Volcanicsugar39
  from Coatzintla Veracruz Mexico via Telnet
- Guest
  from Amf via Telnet
- Guest
  from Eindhoven, Nl via Telnet

System Info

Sysop:	Karloch
Location:	Madrid, Spain
Users:	75
Nodes:	8 (0 / 8)
Uptime:	24:16:22
Calls:	1,495
Calls today:	2
Files:	17,895
D/L today:	428 files (15,368K bytes)
Messages:	65,841

=?iso-8859-1?q?una-al-dia_=2811/09/2008=29_Apple_publica_una_actualizac

Who's Online

Recent Visitors

System Info