Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Uppdaterad | Publicerad - Sårbarhet, Apple

SR08-271 Apple - Nio sårbarheter i QuickTime (iTunes)

Sårbarheterna kan medge exekvering av godtycklig kod. Alla nio kräver att en riggad fil öppnas.

Problembeskrivning

CVE-referens: CVE-2008-3615 CVE-2008-3635 CVE-2008-3624 CVE-2008-3625 CVE-2008-3614 CVE-2008-3626 CVE-2008-3627 CVE-2008-3628 CVE-2008-3629

Apple QuickTime är en mediaspelare som bl.a. ingår i iTunes. Produkten innehåller ett flertal sårbarheter vilka kan leda till att godtycklig kod exekveras då en specialkonstruerad fil öppnas. Bristfällig indatakontroll av exempelvis QTVR-filer (QuickTime Virtual Reality) och PICT-filer (PICTure) orsakar sårbarheterna.

Lösning: Uppgradera till QuickTime 7.5.5 där säkerhetsproblemen är åtgärdade. Använd den automatiska uppdateringsfunktionen eller uppgradera manuellt:

David Wharton, Paul Byrne (NGSSoftware) och Roee Hay (IBM Rational Application Security Research Group) med flera har upptäckt sårbarheterna.

Observera att även iTunes innehåller sårbarheter vilka är rättade i iTunes 8.0: http://lists.apple.com/archives/security-announce/2008/Sep/msg00001.html

Påverkade versioner

  • Apple QuickTime Player 7.4.5 eller tidigare

Mer information och programrättningar

http://lists.apple.com/archives/security-announce/2008/Sep/msg00000.html
http://secunia.com/advisories/31821/
http://www.securityfocus.com/bid/31086
http://www.securitytracker.com/alerts/2008/Sep/1020841.html