ZDI informa de vulnerabilidad 0-day en QuickTime
Zero Day Initiative (ZDI) ha publicado un aviso por una vulnerabilidad 0-day en QuickTime que podría permitir a atacantes remotos ejecutar código arbitrario en los sistemas afectados.
Riesgo: Alto
Quick Time es un software desarrollado por Apple que permite la visualización de varios formatos de imágenes y la reproducción de múltiples formatos de audio y vídeo.
Según ZDI se requiere la interacción del usuario para explotar exitosamente esta vulnerabilidad, debido a que debe visitar una página maliciosa o abrir un archivo específicamente creado. El fallo, con
CVE-2014-4979, reside en el tratamiento de átomos "
mvhd" que facilitaría al atacante crear una corrupción de memoria controlable;
lo que permitiría la ejecución de código arbitrario en el contexto del usuario.
ZDI reportó a Apple este problema el 20 de diciembre del año pasado, la compañía confirmó la existencia de la vulnerabilidad el mismo día. El 30 de mayo, ZDI informó a Apple que iba a proceder a la publicación de la información, ya que el 18 de junio finalizaba el periodo de 180 días desde el anuncio a la compañía. De esta forma se cumple la política de divulgación de información de la propia ZDI. El mismo 30 de junio.
Sistemas Afectados: Quick Time
Referencias: CVE-2014-4979
Solución:Apple ha confirmado que la actualización está programada para septiembre de este año.
Notas: (0Day) Apple QuickTime 'mvhd' Atom Heap Memory Corruption Remote Code Execution Vulnerability