Alcune vulnerabilità sono state scoperte in QuickTime di Apple, che possono essere sfruttate da attacker e consentono l’accesso a informazioni potenzialmente sensibili o compromettere un sistema vulnerabile.

I bug trovati e sistemati nella patch:

1) Un errore nella gestione di QuickTime per Java permette ad applet Java compromessi di deserializzare oggetti QTJava. Questo può essere sfruttato per accedere ad informazioni sensibili o eseguire codice arbitrario anche visitando una pagina Web con Java applet maligne.

2) Un errore non specificato nella gestione degli URL esterni incorporati nel filmato possono causare accesso a informazioni sensibili. 

3) Un errore di validazione di input e la gestione dei dati di riferimento all’interno del filmato può essere sfruttato per causare un buffer overflow quando un film, appositamente creato, viene visualizzato.

4) Un errore non specificato nella gestione dei brani del film che può essere sfruttato per causare una sovrascrittura della memoria quando un film appositamente creato è visualizzato. 

5) Un errore nella libreria quicktime.qts viene sfruttato quando si attiva il parsing “crgn”. Questo può essere sfruttato per causare un heap-based buffer overflowalla visualizzazione del filmato.

6) Un errore nel parsing del Channel Compositor può essere sfruttata per causare un heap-based buffer overflow alla visualizzazione del filmato. 

7) Un errore all’interno di quickTime.qts quando l’applicazione esegue il parsing dei file PICT. Questo può essere sfruttato per causare un heap-based buffer overflow quando un’immagine PICT  appositamente creata viene visualizzata nel filmato. 

8) Un errore all’interno della biblioteca quicktime.qts nella elaborazione delle immagini Kodak, che può essere sfruttata per causare un heap-based buffer overflow.  Questa vulnerabilità non riguarda i sistemi Mac OS X.

9) Un boundary error nella gestione di animazioni codec può essere sfruttata per causare un heap-based buffer overflow quando viene visualizzato un filmato. Questa vulnerabilità non riguarda i sistemi Mac OS X.

10) Un erroredurante il parsing di “obji”. Questo può essere sfruttato per causare uno stack-based buffer overflow tramite un filmato QuickTime VR, dove le dimensioni atom è impostato su “0″.

11) Un errore nel parsing di opcode può essere sfruttata per causare un heap-based buffer overflow quando una immagine PICT viene visualizzata nel filmato.

Tutte queste vulnerabilità possono consentire l’esecuzione di codice arbitrario.

Soluzione:
Update alla versione 7.4.5.

QuickTime 7.4.5 per Windows:
http://www.apple.com/support/downloads/quicktime745forwindows.html

QuickTime 7.4.5 per Leopard:
http://www.apple.com/support/downloads/quicktime745forleopard.html

QuickTime 7.4.5 per Panther:
http://www.alground.com

QuickTime 7.4.5 per Tiger:
http://www.apple.com/support/downloads/quicktime745fortiger.html