Apple QuickTime presenta múltiples vulnerabilidades. Éstas vulneraibilidades permiten que un intruso de forma remota ejecute código arbitrario o provoque una negación de servicio.
Apple QuickTime presenta multiples vulnerabilidades en la forma en la que manipula los applets de JAVA y varios tipos de archivos multimedia. Los intrusos pueden aprovechar estas vulnerabilidades haciendo que los usuarios accedan a archivos multimedia o applets de JAVA especialmente modificados con la versión de Apple Quicktime vulnerable. También es posible crear una página Web que haga uso de archivos multimedia especialmente modificados para el ataque, el intruso sólo necesitaría que sus víctimas visiten dicho sitio.
Estas vulnerabilidades podrían permitir una negación de servicio o la ejecución de código o comandos arbitrarios de forma remota y sin necesidad de autenticarse. Para más referencia, consultar la base de datos de notas referentes a la vulnerabilidad.
Actualizar QuickTime a la versión 7.2. Ésta y otras actualizaciones de Mac OS X, se encuentran disponibles por medio Apple Update.
En el caso de Microsoft Windows, los usuarios podrán actualizar QuickTime con la herramienta de actualización automática, Apple Software Update, o instalando la actualización de forma manual.
Un intruso puede aprovechar la interacción que tiene QuickTime con los navegadores Web para explotar dicha vulnerabilidad. Para que un intruso tenga éxito en su ataque, basta con crear un sitio Web malicioso. Deshabilitar la interacción de QuickTime con el navegador Web reduce el riesgo en este vector de ataque. Para más referencia, consultar las notas de la vulnerabilidad que Apple publica.
Un intruso puede aprovechar la interacción que tiene JAVA con los navegadores Web para explotar dicha vulnerabilidad. Para que un intruso tenga éxito en su ataque, basta con crear un sitio Web malicioso. Deshabilitar la interacción de JAVA con el navegador Web redice el riesgo en este vector de ataque.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT