Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Vi har två jobbannonser ute just nu: Sök till Systemadministratör eller Övningsansvarig senast 18 augusti.

Uppdaterad | Publicerad - Sårbarhet, Tillägg webbläsare, Apple

SR07-168 Apple QuickTime (iTunes) - Buffertöverflödessårbarhet

En sårbarhet i Apple QuickTime har upptäckts som kan leda till att godtycklig kod körs. Eftersom QuickTime ingår i iTunes är även denna applikation sårbar.

Problembeskrivning

CVE-referens:-

QuickTime hanterar långa "Content-Type"-fält i RTSP-protokollet (Real Time Streaming Protocol) felaktigt, vilket kan leda till att godtycklig kod exekveras. Genom att besöka en webbsida som returnerar en specialkonstruerad RTSP-ström kan sårbarheten utnyttjas.

För att skydda sig kan följande åtgärder vidtas:

  • Blocka rtsp-protokollet i brandväggen.

  • Inaktivera Quicktime i webbläsaren. Följ dessa instruktioner.

Krystian Kloskowski (h07) upptäckte säkerhetshålet som är en stackbaserad buffertöverflödning. Exempel på hur sårbarheten kan utnyttjas finns publicerat, men än så länge endast för Windows.

Påverkade versioner

  • QuickTime 7.3 under både Microsoft Windows (XP, Vista) och Apple Mac OS X (10.3.9-10.5).

Mer information och programrättningar

http://secunia.com/advisories/27755/

http://www.securityfocus.com/bid/26560

http://www.securityfocus.com/bid/26549

http://www.kb.cert.org/vuls/id/659761

http://www.apple.com/quicktime/