![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Uppdaterad | Publicerad
SR07-168 Apple QuickTime (iTunes) - Buffertöverflödessårbarhet
En sårbarhet i Apple QuickTime har upptäckts som kan leda till att godtycklig kod körs. Eftersom QuickTime ingår i iTunes är även denna applikation sårbar.
Problembeskrivning
CVE-referens:-
QuickTime hanterar långa "Content-Type"-fält i RTSP-protokollet (Real Time Streaming Protocol) felaktigt, vilket kan leda till att godtycklig kod exekveras. Genom att besöka en webbsida som returnerar en specialkonstruerad RTSP-ström kan sårbarheten utnyttjas.
För att skydda sig kan följande åtgärder vidtas:
-
Blocka rtsp-protokollet i brandväggen.
-
Inaktivera Quicktime i webbläsaren. Följ dessa instruktioner.
Krystian Kloskowski (h07) upptäckte säkerhetshålet som är en stackbaserad buffertöverflödning. Exempel på hur sårbarheten kan utnyttjas finns publicerat, men än så länge endast för Windows.
Påverkade versioner
- QuickTime 7.3 under både Microsoft Windows (XP, Vista) och Apple Mac OS X (10.3.9-10.5).
Mer information och programrättningar
http://secunia.com/advisories/27755/
http://www.securityfocus.com/bid/26560
http://www.securityfocus.com/bid/26549