Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2005 > CERT-FI haavoittuvuustiedote 077/2005

CERT-FI haavoittuvuustiedote 077/2005

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

4.11.2005

Haavoittuvuuksia Apple QuickTime -ohjelmistossa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Apple QuickTime on suosittu mm. videotallenteiden katseluun ja musiikkitiedostojen kuunteluun käytetty ohjelmisto. Apple QuickTime -ohjelmistosta on löydetty neljä haavoittuvuutta.

Kaksi löydetyistä haavoittuvuuksista on videotiedoston lataamiseen liittyviä kokonaislukuylivuotoja. Haavoittuvuuksia hyväksikäyttämällä hyökkääjä voi suorittaa kohdejärjestelmässä omia komentojaan. Haavoittuvuuksia voidaan hyväksikäyttää tietyllä tavalla muokatun .mov-videotiedoston avulla.

Kolmas haavoittuvuuksista liittyy QuickTime ohjelmiston PictureViewer-komponentiin. Haavoittuvuus on pakatun PICT-datan käsittelyssä tapahtuva muistin korruptoituminen. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan kohdejärjestelmässä. Haavoittuvuutta voidaan hyväksikäyttää tietyllä tavalla muokatulla PICT-kuvatiedostolla.

Neljäs haavoittuvuus on julkaistuista haavoittuvuuksista vähemmän merkityksellisen. Sen hyväksikäyttö mahdollistaa QuickTime-ohjelmistoa käyttävän sovelluksen kaatamisen.

HAAVOITTUVAT OHJELMISTOT:

  • Apple QuickTime -ohjelmiston MacOS-versiot 6.x ja 7.x ennen versiota 7.0.3

  • Apple QuickTime -ohjelmiston Windows-versiot 7.x ennen versiotta 7.0.3

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva QuickTime ohjelmisto versioon 7.0.3.

LISÄTIETOA:

http://docs.info.apple.com/article.html?artnum=302772

http://pb.specialised.info/all/adv/quicktime-mov-io1-adv.txt

http://pb.specialised.info/all/adv/quicktime-mov-io2-adv.txt

http://pb.specialised.info/all/adv/quicktime-pict-adv.txt

http://pb.specialised.info/all/adv/quicktime-mov-dos-adv.txt

CVE-2005-2753 CVE-2005-2754 CVE-2005-2756 CVE-2005-2755

PÄIVITYSHISTORIA:

04.11.2005: Julkaistu
Sivua päivitetty 26.03.2007   Tulostusversio Tulostusversio