Por Antonio J. Román
Arrebola roman@hispasec.com El componente Activex de Apple QuickTime v5.0.2 se ve afectado por una vulnerabilidad que permitiría un ataque DoS y la posterior ejecución de código. Apple QuickTime es un reproductor multimedia, que según datos de Apple en su versión 5.0 ha tenido una cifra de 100 millones de descargas. El componente afectado es usado para insertar películas en un una página Web. Existe un desbordamiento de búfer provocado por la forma en que el componente ActiveX de QuickTime trata el campo "pluginspage" cuando se analiza desde una página html maliciosa local o remota. Este problema puede permitir la ejecución de código en el ordenador remoto al visualizar dicha página web. Este mismo tipo de vulnerabilidad afectó a Internet Explorer 5.5 SP2 y 6.0 a principios de año. Para explotar esta vulnerabilidad el atacante deberá conseguir que la víctima abra una página html que contenga el código que explota esta vulnerabilidad. Apple Computer ha puesto a disposición de los usuarios de QuickTime una versión revisada, la 6, que se puede bajar desde el sitio: Más Información: Apple QuickTime ActiveX Buffer Overrun Quicktime http://www.apple.com/quicktime
|
