El componente Activex de Apple QuickTime v5.0.2 se ve afectado por
una vulnerabilidad que permitiría un ataque DoS y la posterior ejecución
de código.
Apple QuickTime es un reproductor multimedia, que según datos
de Apple en su versión 5.0 ha tenido una cifra de 100 millones
de descargas. El componente afectado es usado para insertar películas
en un una página Web.
Existe un desbordamiento de búfer provocado por la forma en que el
componente ActiveX de QuickTime trata el campo «pluginspage» cuando se
analiza desde una página html maliciosa local o remota. Este problema
puede permitir la ejecución de código en el ordenador remoto al
visualizar dicha página web.
Este mismo tipo de vulnerabilidad afectó a Internet Explorer 5.5 SP2 y
6.0 a principios de año.
Para explotar esta vulnerabilidad el atacante deberá conseguir que la
víctima abra una página html que contenga el código que explota esta
vulnerabilidad.
Apple Computer ha puesto a disposición de los usuarios de QuickTime
una versión revisada, la 6, que se puede bajar desde el sitio:
http://www.apple.com/quicktime/
roman@hispasec.com
Más información:
Apple QuickTime ActiveX Buffer Overrun
http://www.securiteam.com/windowsntfocus/5NP0B0A8AS.html
Quicktime
http://www.apple.com/quicktime
Deja una respuesta