Categories: MacSeguridadWorkspace

Apple soluciona ocho problemas de seguridad en QuickTime

Además de publicar un boletín de seguridad adicional para solucionar un fallo en el componente MPEG-2 de de QuickTime Media Player para Windows, Apple lanza QuickTime 7.6, una nueva versión que solventa siete problemas de seguridad en sus versiones para Windows y OS X Leopard y Tiger.

Las vulnerabilidades solventadas en la nueva versión Quicktime 7.6 son:

* Denegación de servicio y posible ejecución remota de código causada por un desbordamiento de búfer basado en heap al intentar procesar un objeto multimedia apuntado por una URL RTSP (Real Time Streaming Protocol).

* Ejecución remota de código al aprovecharse de un desbordamiento de búfer basado en heap provocado por el tratamiento erróneo de átomos THKD en un archivo de vídeo QTVR (QuickTime Virtual Reality) especialmente manipulado.

* Denegación de servicio o ejecución remota de código arbitrario a través de archivos AVI especialmente manipulados, que podrían causar un desbordamiento de búfer basado en heap.

* Otro desbordamiento de búfer, debido a un manejo incorrecto de archivos MPEG-2 con contenido de audio en formato MP3, que podría ser aprovechado por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

* Denegación de servicio o ejecución remota de código causada por un fallo de corrupción de memoria en Quicktime al manejar los archivos de vídeo codificados con H.263.

* Desbordamiento de búfer basado en heap que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de un archivo de vídeo codificado con Cinepak.

* Ejecución remota de código al aprovecharse de un desbordamiento de búfer basado en heap provocado por el tratamiento erróneo de átomos jpeg en un archivo de vídeo QuickTime especialmente manipulado.

Por otra parte, el segundo boletín de seguridad publicado por Apple informa sobre una vulnerabilidad solventada en el componente QuickTime MPEG-2 Playback Component para Windows, que podría ser aprovechada para ejecutar código arbitrario lo que permitiría comprometer un sistema por completo.

Todos los fallos corregidos son del tipo “Improper Input Validation”, es decir, un fallo al comprobar y validar las entradas introducidas por un usuario y que, bajo ciertas circunstancias, podría aprovecharse para ejecutar código arbitrario. Este tipo de fallo encabeza el “Top 25 de los fallos de programación más peligrosos” y que podrían ser causantes de problemas de seguridad. Esta lista fue publicada a principios de año y ha sido elaborada por MITRE y SANS en colaboración con diferentes organismos oficiales, empresas y universidades.

Recordamos que todas las actualizaciones se pueden instalar a través de las funcionalidades de actualización automática (Software Update) de Apple.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Comprender el valor de la modularidad, tarea pendiente de los directivos

Un estudio de IFS, Boom e IDC revela que solamente un 19 % de las…

2 horas ago

Un 67 % de los consumidores rechaza en España a aquellas empresas que no protegen sus datos

Para garantizar la privacidad, el 30 % se ha pasado a otra compañía durante el…

3 horas ago

Phishing personalizado, malware adaptable y otras tendencias de ciberseguridad para 2025

Check Point Software Technologies prevé que los avances en inteligencia artificial permitirán a pequeños grupos…

4 horas ago

2 de cada 10 españoles usan herramientas de IA como ChatGPT

El 7 % de los internautas recurre a estas aplicaciones de forma habitual y cerca…

5 horas ago

CISO, perfil tecnológico que recibirá la mayor subida salarial en 2025

Le siguen otros profesionales como el gerente de gobernanza, el gestor de datos y el…

6 horas ago

Las 6 profesiones tecnológicas con mayor futuro

Desde el ingeniero en inteligencia artificial al ingeniero de 'prompts', son varios los perfiles que…

1 día ago