CERT-FI haavoittuvuustiedote 058/2010

QuickTime-sovelluksessa haavoittuvuuksia

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

QuickTime-sovelluksesta on löytynyt 16 haavoittuvuutta jotka kaikki mahdollistavat komentojen mielivaltaisen suorittamisen kohdejärjestelmässä. Hyökkääjä voi hyväksikäyttää haavoittuvuuksia houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokatun tiedoston. Haavoittuvuudet ovat havaittu seuraavissa ääni- ja videokoodekeissa: FlashPix, FLC, H.261, H.263, H.264, M-JPEG, MPEG, QDM2, QDMC, RLE ja Sorenson. Lisäksi korjauksen saivat myös BMP- ja PICT-kuvatiedostojen käsittelijät.

Haavoittuvuudet koskevat sekä Windows- että Mac OS X -käyttöjärjestelmien QuickTime-sovelluksia.

HAAVOITTUVAT OHJELMISTOT:

• Apple QuickTime ennen versiota 7.6.6

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmisto uusimpaan versioon. Apple Mac OS X -käyttöjärjestelmän osalta osa haavoittuvuuksista on valmiiksi korjattu Apple Security Update 2009-006:n ja Apple Security Update 2010-002:n myötä.

LISÄTIETOA:

• http://support.apple.com/kb/HT4008
• http://support.apple.com/kb/HT4104
• CVE-2009-2837, CVE-2010-0059, CVE-2010-0060, CVE-2010-0062,
• CVE-2010-0514, CVE-2010-0515, CVE-2010-0516, CVE-2010-0517,
• CVE-2010-0518, CVE-2010-0519, CVE-2010-0520, CVE-2010-0526,
• CVE-2010-0527, CVE-2010-0528, CVE-2010-0529, CVE-2010-0536
  

PÄIVITYSHISTORIA:

31.3.2010, kello 8.10: Julkaistu
31.3.2010, kello 10.15: Lisätty linkki Applen haavoittuvuustiedotteeseen

Sivua päivitetty 31.03.2010

Tulostusversio