Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
QuickTime Player
(0, 7.1.5)
Описание
Переполнение при обработке целочисленных типов в Apple QuickTime позволяет злоумышленникам, действующим удаленно, вызвать отказ в обслуживании (аварийное завершение работы приложения) и, возможно, выполнить произвольный код, используя специально сформированный видео файл QuickTime, в котором в User Data Atom (UDTA) поле размера Atom имеет большое значение. Для эксплуатации уязвимости необходимы активные действия со стороны пользователя.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.apple.com/
http://www.apple.com/
Ссылки
APPLE (APPLE-SA-2007-03-05): http://lists.apple.com/archives/Security-announce/2007/Mar/msg00000.html
http://docs.info.apple.com/article.html?artnum=305149
BUGTRAQ (20070306 Apple QuickTime udta ATOM Integer Overflow): http://www.securityfocus.com/archive/1/archive/1/461999/100/0/threaded
BUGTRAQ (20070307 ZDI-07-010: Apple Quicktime UDTA Parsing Heap Overflow Vulnerability): http://www.securityfocus.com/archive/1/archive/1/462153/100/0/threaded
http://secway.org/advisory/AD20070306.txt
http://www.zerodayinitiative.com/advisories/ZDI-07-010.html
CERT (TA07-065A): http://www.us-cert.gov/cas/techalerts/TA07-065A.html
CERT-VN (VU#861817): http://www.kb.cert.org/vuls/id/861817
BID (22827): http://www.securityfocus.com/bid/22827
BID (22844): http://www.securityfocus.com/bid/22844
FRSIRT (ADV-2007-0825): http://www.frsirt.com/english/advisories/2007/0825
SECTRACK (1017725): http://www.securitytracker.com/id?1017725
XF (quicktime-udta-atoms-overflow(32819)): http://xforce.iss.net/xforce/xfdb/32819
http://docs.info.apple.com/article.html?artnum=305149
BUGTRAQ (20070306 Apple QuickTime udta ATOM Integer Overflow): http://www.securityfocus.com/archive/1/archive/1/461999/100/0/threaded
BUGTRAQ (20070307 ZDI-07-010: Apple Quicktime UDTA Parsing Heap Overflow Vulnerability): http://www.securityfocus.com/archive/1/archive/1/462153/100/0/threaded
http://secway.org/advisory/AD20070306.txt
http://www.zerodayinitiative.com/advisories/ZDI-07-010.html
CERT (TA07-065A): http://www.us-cert.gov/cas/techalerts/TA07-065A.html
CERT-VN (VU#861817): http://www.kb.cert.org/vuls/id/861817
BID (22827): http://www.securityfocus.com/bid/22827
BID (22844): http://www.securityfocus.com/bid/22844
FRSIRT (ADV-2007-0825): http://www.frsirt.com/english/advisories/2007/0825
SECTRACK (1017725): http://www.securitytracker.com/id?1017725
XF (quicktime-udta-atoms-overflow(32819)): http://xforce.iss.net/xforce/xfdb/32819