Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2006 > CERT-FI haavoittuvuustiedote 003/2006

CERT-FI haavoittuvuustiedote 003/2006

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

11.1.2006

Haavoittuvuuksia Apple QuickTime -ohjelmistossa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Apple QuickTime on suosittu muun muassa videotallenteiden katseluun ja musiikkitiedostojen kuunteluun käytetty ohjelmisto. Apple QuickTime -ohjelmistosta on löydetty viisi haavoittuvuutta.

Ensimmäinen haavoittuvuus on QTIF-kuvatiedostojen käsittelyyn liittyvä puskurin ylivuoto, jota hyväksikäyttämällä hyökkääjä voi suorittaa kohdejärjestelmässä omia komentojaan.

Toiseen haavoittuvuuteen liittyy useita puskuri- ja kokonaislukuvuotoja tietyllä tavalla muokattujen TGA-kuvatiedostojen käsittelyssä, joita hyväksikäyttämällä hyökkääjä voi suorittaa kohdejärjestelmässä omia komentojaan tai kohdistaa siihen palvelunestohyökkäyksen.

Kolmanteen haavoittuvuuteen liittyy useita kokonaislukuylivuotoja tietyllä tavalla muokattujen TIFF-kuvatiedostojen käsittelyssä, joita hyväksikäyttämällä hyökkääjä voi suorittaa kohdejärjestelmässä omia komentojaan.

Neljäs haavoittuvuus on GIF-kuvatiedostojen käsittelyyn liittyvä puskurin ylivuoto, jota hyväksikäyttämällä hyökkääjä voi suorittaa kohdejärjestelmässä omia komentojaan.

Viides haavoittuvuus on mediatiedostojen käsittelyyn liittyvä puskurin ylivuoto, jonka avulla hyökkääjä voi suorittaa järjestelmässä omia komentojaan. Haavoittuvuutta voidaan hyväksikäyttää esimerkiksi tietyllä tavalla muokattujen www-sivujen avulla.

HAAVOITTUVAT OHJELMISTOT:

  • Apple QuickTime -ohjelmiston Windows-versiot 6.x ja 7.x ennen versiota 7.0.4

  • Apple QuickTime -ohjelmiston MacOS-versiot 6.x ja 7.x ennen versiota 7.0.4

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva QuickTime ohjelmisto versioon 7.0.4.

LISÄTIETOA:

http://www.apple.com/quicktime
http://www.frsirt.com/english/advisories/2006/0128
http://lists.apple.com/archives/security-announce/2006/Jan/msg00001.html

CVE-2005-2340 CVE-2005-3707 CVE-2005-3708 CVE-2005-3709
CVE-2005-3710 CVE-2005-3711 CVE-2005-3713 CVE-2005-4092

PÄIVITYSHISTORIA:

11.01.2006: Julkaistu
Sivua päivitetty 11.03.2007   Tulostusversio Tulostusversio