CERT-FI haavoittuvuustiedote 151/2007

8.11.2007

Haavoittuvuuksia Apple QuickTime -sovelluksessa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Apple QuickTime -sovellus on suosittu muun muassa videotallenteiden katseluun ja musiikkitiedostojen kuunteluun käytetty ohjelmisto. Sovelluksesta on löydetty seitsemän haavoittuvuus, joita voidaan käyttää hyväksi houkuttelemalla käyttäjä katsomaan tietyllä tavalla muokattua tiedostoa. Haavoittuvuuksista yksi liittyy QuickTimen käyttöön Java-appleteissa, kaksi PICT-kuvatiedostojen käsittelyyn, kolme QuickTimen tavallisen videoformaatin eri kenttien jäsentämiseen ja yksi QVTR-videoformaatin käsittelyyn.

HAAVOITTUVAT OHJELMISTOT:

• Apple QuickTime ennen versiota 7.3

Haavoittuvuus koskee ohjelmiston kaikkia käyttöjärjestelmäversioita.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti.

LISÄTIETOA:

• http://docs.info.apple.com/article.html?artnum=306896
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2395
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3750
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3751
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4672
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4676
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4675
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4677

PÄIVITYSHISTORIA:

8.11.2007, kello 8.30: Julkaistu

Sivua päivitetty 08.11.2007

Tulostusversio