Actualización de seguridad para QuickTime

Apple ha publicado una nueva versión de QuickTime (la 7.7.4), que solventa 12 problemas de seguridad en su versión para Windows.

Quick Time es un software desarrollado por Apple que permite la visualización de varios formatos de imágenes y la reproducción de múltiples formatos de audio y vídeo.

Las vulnerabilidades han sido catalogadas desde el CVE-2013-1015 hasta el CVE-2013-1022 y desde el CVE-2013-0986 hasta el CVE-2013-0989 (todos incluidos) que podrían permitir la ejecución de código en el equipo afectado y son las que se detallan a continuación.

En el procesamiento de los metadatos ha corregido un desbordamiento al procesar el metadato 'mvhd' y otros dos desbordamientos al procesar los metadatos 'dref' y 'enof'.

En el procesamiento de imágenes se ha corregido una corrupción de memoria y un desbordamiento de memoria al procesar los ficheros JPEG, una corrupción de memoria en el procesamiento de los ficheros QTIF, y un desbordamiento de memoria al procesar los ficheros FPX.

En el procesamiento de vídeos se han corregido tres desbordamientos, uno en los vídeos con codificación Sorenson, otro en la codificación H.264 y otro en la codificación H.263

También se ha corregido un último desbordamiento en el manejo de los ficheros MP3, y una corrupción de memoria al procesar los ficheros TeXML.

Esta nueva versión puede instalarse a través de las funcionalidades de actualización automática (Software Update) de Apple, o descargándolas directamente desde http://www.apple.com/quicktime/download/

Más información:

About the security content of QuickTime 7.7.4

http://support.apple.com/kb/HT5770

Jose Ignacio Palacios Ortega

jipalacios@hispasec.com

Nueva versión de Google Chrome corrige 14 vulnerabilidades

Google ha publicado una nueva versión de su navegador Chrome con la versión 27.0.1453.93, para todas las plataformas (Windows, Mac, Linux y Chrome Frame), que además de incluir nuevas funcionalidades y mejoras corrige 14 nuevas vulnerabilidades, 11 de ellas con un nivel de gravedad alto.

Según el aviso de Google, las páginas se cargan ahora un 5% más rápido de media, se ha incluido la API chrome.syncFileSystem y se han mejorado la clasificación de predicciones y la corrección gramatical, así como mejoras fundamentales para las predicciones Omnibox.

Las vulnerabilidades de gravedad alta residen en el uso de punteros después de ser liberados en SVG (CVE-2013-2837), en el cargador de medios (CVE-2013-2840 y CVE-2013-2846), en el tratamiento de recursos Pepper (CVE-2013-2841), en el tratamiento de widgets (CVE-2013-2842), en el tratamiento de voz (CVE-2013-2843), en resolución de estilos (CVE-2013-2844), en workers (CVE-2013-2847), problemas de seguridad en memoria en Web Audio (CVE-2013-2845), en el manejo del portapapeles (CVE-2013-2839) y otros fallos que pueden permitir la explotación (CVE-2013-2836).

De nivel medio una lectura fuera de límites en v8 (CVE-2013-2838), y una posible extracción de datos con XSS Auditor (CVE-2013-2848). Por último, de gravedad baja un posible cross site scripting al arrastrar y soltar o al copiar y pegar (CVE-2013-2849).

Google recuerda que parte de las vulnerabilidades solucionadas fueron detectadas a través de su proyecto público de detección de errores en memoria para aplicaciones escritas en C/C++: AddressSanitizer.

http://code.google.com/p/address-sanitizer/wiki/AddressSanitizer

Esta nueva versión, también incluye una versión actualizada de Adobe Flash 11.7.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados. Según la política de la compañía estas vulnerabilidades han supuesto un total de 14.633,7 dólares en recompensas a los descubridores de los problemas.

Más información:

Stable Channel Update

http://googlechromereleases.blogspot.com.es/2013/05/stable-channel-release.html

  

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero