Поделиться
Apple «излечила» QuickTime: семь уязвимостей
Apple в понедельник, 5 ноября 2007 г., выпустила QuickTime 7.3, в котором устранено семь уязвимостей. Шесть позволяют выполнить произвольный код, одна – запустить произвольные Java-апплеты с повышенными привилегиями. Все уязвимости касаются Windows и Mac OS X.
Предыдущее крупное обновление QuickTime было выпущено в июле – тогда компания устранила восемь уязвимостей. В октябре вышел патч, устраняющий возможность выполнения произвольного кода в версии продукта для Windows, сообщает The Register.
В основном, уязвимости позволяют выполнить код, скрытый во вредоносных видеофайлах и файлах изображений. Одна возникает при обработке атомов описания образа файла, вторая – при обработке описателя сэмпла в таблице сэмплов (Sample Table Sample Descriptor), третья и четвертая – при обработке изображений PICT, пятая – при обработке атома таблицы цветов в видеофайлах. Шестая – в атомах образчика панорамы в видеофайлах QTVR. И, наконец, уязвимость, связанная с обработкой Java-апплетов, позволяет выполнить код с повышенными привилегиями и похитить важную информацию при посещении веб-страницы, содержащей вредоносный апплет.
Apple поблагодарила исследователей за помощь в поиске уязвимостей: Адама Говдиака (Adam Gowdiak) и сотрудников 48bits.com, Trapkit.de, Adobe и Reversmode.com.
Короткая ссылка
