viernes, 25 de julio de 2014

ZDI informa de vulnerabilidad 0-day en QuickTime

Zero Day Initiative (ZDI) ha publicado un aviso por una vulnerabilidad 0-day en QuickTime que podría permitir a atacantes remotos ejecutar código arbitrario en los sistemas afectados.

Quick Time es un software desarrollado por Apple que permite la visualización de varios formatos de imágenes y la reproducción de múltiples formatos de audio y vídeo.

Según ZDI se requiere la interacción del usuario para explotar exitosamente esta  vulnerabilidad, debido a que debe visitar una página maliciosa o abrir un archivo específicamente creado. El fallo, con CVE-2014-4979, reside en el tratamiento de átomos "mvhd" que facilitaría al atacante crear una corrupción de memoria controlable; lo que permitiría la ejecución de código arbitrario en el contexto del usuario.

ZDI reportó a Apple este problema el 20 de diciembre del año pasado, la compañía confirmó la existencia de la vulnerabilidad el mismo día. El 30 de mayo, ZDI informó a Apple que iba a proceder a la publicación de la información, ya que el 18 de junio finalizaba el periodo de 180 días desde el anuncio a la compañía. De esta forma se cumple la política de divulgación de información de la propia ZDI. El mismo 30 de junio. Apple ha confirmado que la actualización está programada para septiembre de este año.

Más información:

(0Day) Apple QuickTime 'mvhd' Atom Heap Memory Corruption Remote Code Execution Vulnerability





Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada