Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
QuickTime Player
(MacOS - 0, MacOS - 7.0.1)
Описание
QuickTime содержит уязвимость, которая может привести к неавторизованному разглашению информации. Проблема существует в файлах Quartz Composer (*.qtz), созданных с помощью приложения Quartz Composer, которое используется в качестве хранителя экрана или проигрывателя видео файлов QuickTime. Композиции, созданные с помощью расширенного набора инструментов (так назваемые patches), могут быть встроены в файл, чтобы эксплуатировать эту уязвимость. Объединяя патчи, которые предоставляют расширенную системную информацию, с патчами, которые загружают информацию из Интернет, злоумышленник, действующий удаленно, может создать специально сформированные *.qtz или *.mov файлы, которые передадут конфиденциальную информацию на сервер злоумышленника, как только жертва откроет файл для просмотра (например, в веб-браузере с установленным плагином QuickTime).
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.apple.com/
http://www.apple.com/
Ссылки
FULLDISC (20050511 [DR018] Quartz Composer / QuickTime 7 information leakage): http://archives.neohapsis.com/archives/fulldisclosure/2005-05/0265.html
MISC (http://remahl.se/david/vuln/018): http://remahl.se/david/vuln/018
MLIST ([quartzcomposer-dev] 20050510 Quartz Quicktime embedded in remote webpages...): http://lists.apple.com/archives/quartzcomposer-dev/2005/May/msg00250.html
MLIST ([quartzcomposer-dev] 20050511 Re: Quartz Quicktime embedded in remote webpages...): http://lists.apple.com/archives/quartzcomposer-dev/2005/May/msg00263.html
BID (13603): http://www.securityfocus.com/bid/13603
OSVDB (16376): http://www.osvdb.org/16376
SECTRACK (1013961): http://securitytracker.com/id?1013961
APPLE (APPLE-SA-2005-05-31): http://lists.apple.com/archives/security-announce/2005/May/msg00006.html
FRSIRT (ADV-2005-0531): http://www.frsirt.com/english/advisories/2005/0531
http://docs.info.apple.com/article.html?artnum=301714
MISC (http://remahl.se/david/vuln/018): http://remahl.se/david/vuln/018
MLIST ([quartzcomposer-dev] 20050510 Quartz Quicktime embedded in remote webpages...): http://lists.apple.com/archives/quartzcomposer-dev/2005/May/msg00250.html
MLIST ([quartzcomposer-dev] 20050511 Re: Quartz Quicktime embedded in remote webpages...): http://lists.apple.com/archives/quartzcomposer-dev/2005/May/msg00263.html
BID (13603): http://www.securityfocus.com/bid/13603
OSVDB (16376): http://www.osvdb.org/16376
SECTRACK (1013961): http://securitytracker.com/id?1013961
APPLE (APPLE-SA-2005-05-31): http://lists.apple.com/archives/security-announce/2005/May/msg00006.html
FRSIRT (ADV-2005-0531): http://www.frsirt.com/english/advisories/2005/0531
http://docs.info.apple.com/article.html?artnum=301714