CERT-FI haavoittuvuustiedote 166/2007

24.11.2007

Haavoittuvuus Apple QuickTime -sovelluksessa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Apple QuickTime -sovellus on suosittu muun muassa videotallenteiden katseluun ja musiikkitiedostojen kuunteluun käytetty ohjelmisto. Sovelluksen RTSP-vastausotsakkeiden käsittelystä on löydetty ylivuotohaavoittuvuus, jota hyväksikäyttämällä hyökkääjä voi suorittaa kohdekoneessa omia komentojaan käyttäjän oikeuksin. Haavoittuvuuteen on julkaistu useita julkisia hyväksikäyttömenetelmiä.

HAAVOITTUVAT OHJELMISTOT:

• Apple QuickTime versiot 4.0-7.3

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä Apple QuickTime versioon 7.3.1 ohjelmistopäivitystoiminnolla tai lataamalla se osoitteesta

http://www.apple.com/support/downloads/

Haavoittuvuutta voi rajoittaa rajoittamalla QuickTime-sovelluksen ja sen ActiveX-kontrollin käyttöä ja suodattamalla liikennettä sovelluksen käyttämiin portteihin, kuten TCP-porttiin 554 ja UDP-portteihin 6970-6999. CERT/CC listaa rajoitustoimia kattavasti haavoittuvuustiedotteessaan VU#659761.

LISÄTIETOA:

• http://docs.info.apple.com/article.html?artnum=307176
• http://www.securityfocus.com/bid/26549
• http://www.apple.com/quicktime/
• http://www.kb.cert.org/vuls/id/659761

• CVE-2007-6166

PÄIVITYSHISTORIA:

24.11.2007, kello 19.33: Julkaistu

7.12.2007, kello 14.33: Pieniä korjauksia, lisätty rajoitustoimet.

14.12.2007, kello 8.20: Lisätty tieto korjauspäivityksen olemassaolosta.

Sivua päivitetty 14.12.2007

Tulostusversio