Zero
Day Initiative (ZDI) ha publicado un
aviso por una vulnerabilidad 0-day en QuickTime que podría permitir a atacantes remotos ejecutar código arbitrario en
los sistemas afectados.
Quick Time es un software
desarrollado por Apple que permite la visualización de varios formatos de
imágenes y la reproducción de múltiples formatos de audio y vídeo.
Según ZDI se requiere la
interacción del usuario para explotar exitosamente esta vulnerabilidad, debido a que debe visitar una
página maliciosa o abrir un archivo específicamente creado. El fallo, con CVE-2014-4979,
reside en el tratamiento de átomos "mvhd"
que facilitaría al atacante crear una corrupción de memoria controlable; lo que permitiría la ejecución de código
arbitrario en el contexto del usuario.
ZDI reportó a Apple este problema
el 20 de diciembre del año pasado, la compañía confirmó la existencia de la
vulnerabilidad el mismo día. El 30 de mayo, ZDI informó a Apple que iba a
proceder a la publicación de la información, ya que el 18 de junio finalizaba
el periodo de 180 días desde el anuncio a la compañía. De esta forma se cumple la
política de divulgación de información de la propia ZDI. El mismo 30 de junio.
Apple ha confirmado que la actualización está programada para septiembre de
este año.
Más información:
(0Day) Apple QuickTime 'mvhd' Atom Heap Memory
Corruption Remote Code Execution Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario