Zero
Day Initiative (ZDI) ha publicado un aviso por una vulnerabilidad 0-day en
QuickTime que podría permitir a atacantes remotos ejecutar código arbitrario en
los sistemas afectados.
Quick Time es un software desarrollado por
Apple que permite la visualización de varios formatos de imágenes y la
reproducción de múltiples formatos de audio y vídeo.
Detalle
e Impacto de la vulnerabilidad
- Según ZDI se requiere la interacción del usuario para explotar exitosamente esta vulnerabilidad, debido a que debe visitar una página maliciosa o abrir un archivo específicamente creado. El fallo, con CVE-2014-4979, reside en el tratamiento de átomos "mvhd" que facilitaría al atacante crear una corrupción de memoria controlable; lo que permitiría la ejecución de código arbitrario en el contexto del usuario.
- ZDI reportó a Apple este problema el 20 de diciembre del año pasado, la compañía confirmó la existencia de la vulnerabilidad el mismo día. El 30 de mayo, ZDI informó a Apple que iba a proceder a la publicación de la información, ya que el 18 de junio finalizaba el periodo de 180 días desde el anuncio a la compañía. De esta forma se cumple la política de divulgación de información de la propia ZDI. El mismo 30 de junio.
- Apple ha confirmado que la actualización está programada para septiembre de este año.
- (0Day) Apple QuickTime 'mvhd' Atom Heap Memory Corruption Remote Code Execution Vulnerability http://zerodayinitiative.com/advisories/ZDI-14-264/