1 2 3 4 5 6

Boletines RSS PDF

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Boletin de Seguridad UNAM-CERT-2007-020 Actualización de Apple para múltiples vulnerabilidades en QuickTime

Apple QuickTime presenta múltiples vulnerabilidades. Éstas vulneraibilidades permiten que un intruso de forma remota ejecute código arbitrario o provoque una negación de servicio.

  • Fecha de Liberación: 12-Jul-2007
  • Ultima Revisión: 12-Jul-2007
  • Fuente: CERT/CC
  • CVE ID: 2007-020
  • Riesgo Alto
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código
  1. Descripción

    Apple QuickTime presenta multiples vulnerabilidades en la forma en la que manipula los applets de JAVA y varios tipos de archivos multimedia. Los intrusos pueden aprovechar estas vulnerabilidades haciendo que los usuarios accedan a archivos multimedia o applets de JAVA especialmente modificados con la versión de Apple Quicktime vulnerable. También es posible crear una página Web que haga uso de archivos multimedia especialmente modificados para el ataque, el intruso sólo necesitaría que sus víctimas visiten dicho sitio.

  2. Impacto

    Estas vulnerabilidades podrían permitir una negación de servicio o la ejecución de código o comandos arbitrarios de forma remota y sin necesidad de autenticarse. Para más referencia, consultar la base de datos de notas referentes a la vulnerabilidad.

  3. Solución

    • Actualizar QuickTime
    • Actualizar QuickTime a la versión 7.2. Ésta y otras actualizaciones de Mac OS X, se encuentran disponibles por medio Apple Update.

      En el caso de Microsoft Windows, los usuarios podrán actualizar QuickTime con la herramienta de actualización automática, Apple Software Update, o instalando la actualización de forma manual.

    • Deshabilitar QuickTime del navegador Web.
    • Un intruso puede aprovechar la interacción que tiene QuickTime con los navegadores Web para explotar dicha vulnerabilidad. Para que un intruso tenga éxito en su ataque, basta con crear un sitio Web malicioso. Deshabilitar la interacción de QuickTime con el navegador Web reduce el riesgo en este vector de ataque. Para más referencia, consultar las notas de la vulnerabilidad que Apple publica.

    • Deshabilitar JAVA del navegador Web.
    • Un intruso puede aprovechar la interacción que tiene JAVA con los navegadores Web para explotar dicha vulnerabilidad. Para que un intruso tenga éxito en su ataque, basta con crear un sitio Web malicioso. Deshabilitar la interacción de JAVA con el navegador Web redice el riesgo en este vector de ataque.

  4. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Ruben Aquino Luna (raquino at seguridad dot unam dot mx)
  • Israel Becerril Sierra (ibecerril at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT