CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/07/2014

ZDI informa de vulnerabilidad 0-day en QuickTime

Zero Day Initiative (ZDI) ha publicado un aviso por una vulnerabilidad 0-day en QuickTime que podría permitir a atacantes remotos ejecutar código arbitrario en los sistemas afectados.

Riesgo: Alto
Quick Time es un software desarrollado por Apple que permite la visualización de varios formatos de imágenes y la reproducción de múltiples formatos de audio y vídeo.
Según ZDI se requiere la interacción del usuario para explotar exitosamente esta  vulnerabilidad, debido a que debe visitar una página maliciosa o abrir un archivo específicamente creado. El fallo, con CVE-2014-4979, reside en el tratamiento de átomos "mvhd" que facilitaría al atacante crear una corrupción de memoria controlable; lo que permitiría la ejecución de código arbitrario en el contexto del usuario.

ZDI reportó a Apple este problema el 20 de diciembre del año pasado, la compañía confirmó la existencia de la vulnerabilidad el mismo día. El 30 de mayo, ZDI informó a Apple que iba a proceder a la publicación de la información, ya que el 18 de junio finalizaba el periodo de 180 días desde el anuncio a la compañía. De esta forma se cumple la política de divulgación de información de la propia ZDI. El mismo 30 de junio.
Sistemas Afectados:

Quick Time

Referencias:

CVE-2014-4979

Solución:

Apple ha confirmado que la actualización está programada para septiembre de este año.

Notas:
(0Day) Apple QuickTime 'mvhd' Atom Heap Memory Corruption Remote Code Execution Vulnerability
http://zerodayinitiative.com/advisories/ZDI-14-264/
Fuente: Hispasec una-al-día

CSIRT-CV