También se han publicado actualizaciones para iTunes, iPod Touch y en la versión para Windows de Bonjour que describiremos en otra noticia.

A continuación se detallan las vulnerabilidades solventadas en Quicktime 7.7.5, de las cuales ocho son críticas y las cuatro primeras sólo afectan a la versión para Windows.

1- Un problema de acceso a memoria no inicializada en el códec Indeo v5 (no incluido en QuickTime por defecto) podría ser aprovechado por un atacante remoto para hacer que la aplicación deje de responder o ejecutar código arbitrario si se abre un archivo de vídeo especialmente modificado.

2- Un desbordamiento de búfer basado en pila en el códec Indeo v3.2 podría ser aprovechado por un atacante remoto para hacer que la aplicación deje de responder o ejecutar código arbitrario.

3- Un desbordamiento de enteros causado por un manejo incorrecto de archivos de imagen PICT, que podría ser aprovechado, por medio de una imagen especialmente manipulada, para causar una denegación de servicio o ejecutar código arbitrario.

4- Un fallo al intentar acceder a un puntero no válido durante el manejo de imágenes PICT podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario.

5- Un desbordamiento de búfer basado en heap al procesar archivos QTVR (QuickTime Virtual Reality) que podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario.

6- Un problema de desbordamiento de búfer basado en pila al procesar archivos QTVR (QuickTime Virtual Reality) que podría ser aprovechado, por medio de un archivo especialmente manipulado, para causar una denegación de servicio o ejecutar código arbitrario.

7- Un problema de corrupción de memoria durante el manejo de átomos STSZ en archivos de vídeo que podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario.

8- Múltiples problemas de corrupción de memoria en el manejo de archivos de vídeo codificados con H.264, que podrían causar una denegación de servicio o permitir la ejecución de código arbitrario.

9- Un intento de lectura fuera de límites al manejar imágenes PICT podría causar que la aplicación se cerrase de forma inesperada.

Todas las actualizaciones pueden ser instaladas a través de las funcionalidades de actualización automática (Software Update) de Apple, a través de iTunes o, según versión y plataforma, descargándolas directamente desde:

http://www.apple.com/support/downloads/

Más Información:

About the security content of QuickTime 7.5.5

http://support.apple.com/kb/HT3027

Pablo Molina
pmolina@hispasec.com

Al menos una de las vulnerabilidades corregidas, afecta solamente a sistemas Windows Vista y XP con Service Pack 2 instalado (no se menciona SP3 en las alertas de Apple).

La vulnerabilidad permite que un atacante maneje maliciosamente una imagen PICT para que se produzca un desbordamiento de búfer, lo que puede dar como resultado que la aplicación se cierre abruptamente o incluso que se pueda provocar la ejecución de código no deseado en el mismo entorno del usuario que inició sesión en Windows. Los sistemas Mac no son afectados.

Sin embargo, existe otra vulnerabilidad relacionada con archivos PICT, que también es solucionada por la nueva versión, que afecta a todos los sistemas Windows y Mac.

Otra vulnerabilidad corregida puede producir la corrupción de la memoria utilizada por el programa cuando se procesan contenidos codificados en formato AAC (Advanced Audio Coding), un estándar diseñado para reemplazar al MP3. También puede provocar el fallo de la aplicación, o la ejecución de código.

Una película que utilice códecs Indeo (un códec de video doméstico creado por Intel), puede provocar el desbordamiento de búfer, dando lugar a la ejecución de código, o a que el programa se congele. Esta vulnerabilidad es corregida también en QuickTime 4.5 y afecta a todos los sistemas.

Finalmente, QuickTime 4.5 también soluciona la vulnerabilidad anunciada hace unas semanas por el investigador Petko D. Petkov, que permite la ejecución arbitraria de código mediante la gestión maliciosa de archivos (por ejemplo un archivo .MOV puede lanzar la ejecución de un programa en el sistema, sin advertencia previa para el usuario).

Son vulnerables todas las versiones anteriores a la 7.5 disponibles para Windows Vista, Windows XP SP2, Mac OS X v10.3.9, Mac OS X v10.4.9 o posterior y Mac OS X v10.5 o posterior.

Descargas:

Apple Downloads (Windows, etc.)

http://www.apple.com/support/downloads/

Instrucciones para descarga desde el programa (Mac OS X)

http://docs.info.apple.com/article.html?artnum=106704-es

Software afectado:

- Mac OS X v10.3.9
- Mac OS X v10.4.9 o posterior
- Mac OS X v10.5 o posterior
- Windows Vista
- Windows XP SP2

Referencias CVE:

Las vulnerabilidades corregidas están relacionadas con las siguientes referencias CVE:

CVE-2008-1581

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1581

CVE-2008-1582

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1582

CVE-2008-1583

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1583

CVE-2008-1584

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1584

CVE-2008-1585

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1585

Relacionados:

Exploit Zero Day para QuickTime en Windows XP y Vista

http://www.vsantivirus.com/25-04-08.htm

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

La vulnerabilidad Zero Day, puede permitir a un atacante utilizar un archivo .MOV modificado maliciosamente para tomar el control completo de un equipo con Windows XP o Vista totalmente actualizados (definimos “Zero Day” o Día Cero, a cualquier exploit que no haya sido mitigado por un parche del vendedor).

Se ha publicado un video que muestra el ataque en acción. En él, un simple clic en un archivo llamado TEST.MOV descargado en el escritorio de Windows, puede llegar a ejecutar las aplicaciones Microsoft Paint y la calculadora de Windows.

Evidentemente, otros códigos podrían ser lanzados en el equipo, sin que el usuario se percate de ello, mientras él supone que está viendo una simple película descargada de algún sitio.

Lo curioso de esto, es que Petkov, quien se considera un hacker ético, no está seguro de como divulgar los detalles de la vulnerabilidad a Apple, debido a las complicaciones que ha creado una controvertida ley de uso indebido de computadoras aplicada en el Reino Unido (país donde reside).

Increíblemente, Petkov podría ser castigado por esa ley, y por lo tanto, prefiere utilizar otros medios como iDefense o la iniciativa Zero Day para hacerlo.

Esto contrasta enormemente con la actitud de Microsoft, que la semana pasada se comprometió públicamente a no presentar demandas o cargos, contra los “hackers éticos” que de manera responsable, encuentren e informen de los fallos de sus servicios en línea.

Lo cierto es que quienes utilicen QuickTime, deben estar prevenidos de que es posible la ejecución de malwares si descargan y abren un archivo .MOV de sitios dudosos, o recibidos como adjuntos no solicitados.

Relacionados:

Microsoft ama a los hackers éticos

http://www.vsantivirus.com/22-04-08.htm

UK Crown Prosecution Service publishes Computer Misuse Act guidance

http://tinyurl.com/4386fc

QuickTime Zero-Day Hits Windows XP, Vista

http://tinyurl.com/3t8gny

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

Los detalles publicados junto a una prueba de concepto, mencionan vulnerabilidades en cinco funciones de un control ActiveX de QuickTime (QTPlugin.ocx).

El ataque funciona incluso con la nueva versión de QuickTime (la 7.4.1), la cuál fue publicada para solucionar un problema en el protocolo RTSP (Real Time Streaming Protocol), utilizado para realizar streaming, técnica de transmisión unidireccional de contenidos de video y audio a través de Internet.

Debido a que la nueva vulnerabilidad está relacionada con un control ActiveX, la tecnología de Microsoft ampliamente utilizada en Internet Explorer, los usuarios de Windows son quienes corren más peligro si utilizan QuickTime como visor de películas.

Un ataque con un código malicioso puede ser cuestión de horas, luego de la aparición de la prueba de concepto y de la revelación de los detalles de las vulnerabilidades.

Los puntos de ataque más probables, son sitios de redes sociales como MySpace.com, donde múltiples páginas utilizan controles ActiveX vulnerables.

Además de ello, y según reportábamos hace una semana, MySpace, Yahoo! Music y otros, usan otros controles ActiveX vulnerables. Los controles utilizados por Facebook y MySpace, por ejemplo, pueden ser fácilmente comprometidos por un atacante para la descarga de código malicioso en la computadora de la víctima.

Estos controles son utilizados por los usuarios de MySpace y FaceBook para subir imágenes a sus páginas.

Si sumamos ello a la nueva vulnerabilidad en el control ActiveX de QuickTime, puede presentarse un escenario crítico para muchos usuarios que navegan por estos sitios. Tanto como para que el US-CERT (Computer Emergency Readiness Team), esté recomendando desactivar completamente los controles ActiveX.

Apple no ha emitido opinión respecto a la nueva vulnerabilidad en QuickTime.

Por el momento, recomendamos desinstalar dicha aplicación.

Referencias:

QuickTime <= 7.4.1 QTPlugin.ocx Multiple Remote Stack Overflow

http://seclists.org/fulldisclosure/2008/Feb/0304.html

Vulnerability Note VU#101676
Yahoo! Music Jukebox YMP Datagrid ActiveX control stack buffer overflows

http://www.kb.cert.org/vuls/id/101676

Securing Your Web Browser

http://www.us-cert.gov/reading_room/securing_browser/browser_security.html

Relacionados:

Nueva vulnerabilidad en QuickTime y el protocolo RTSP

http://www.vsantivirus.com/vul-quicktime-rtsp-100108.htm

MySpace, Yahoo! Music y otros, usan ActiveX vulnerables

http://www.vsantivirus.com/vul-activex-030208.htm

Configuración personalizada para hacer más seguro el IE

http://www.vsantivirus.com/faq-sitios-confianza.htm

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

La vulnerabilidad está relacionada con el manejo del protocolo RTSP (Real Time Streaming Protocol). Se trata de un protocolo utilizado para realizar streaming, técnica de transmisión unidireccional de contenidos de video y audio a través de Internet.

Un atacante puede sacar provecho del problema, si convence al usuario a conectarse a un stream malicioso mediante un enlace u otros contenidos multimedia en páginas Web. Otros métodos de ejecución son posibles.

Cuando QuickTime intenta procesar ciertas respuestas, se produce el acceso a zonas de la memoria del programa, lo que puede ocasionar que el programa se congele, o incluso que el atacante pueda insertar instrucciones en el proceso activo, lo que llevaría a la ejecución de código no deseado.

El problema también afecta a iTunes, la aplicación creada por Apple para reproducir, organizar y comprar música en Internet, la cuál suele instalarse junto a QuickTime.

Se ha hecho publica una prueba de concepto totalmente operativa para esta vulnerabilidad, lo que aumenta el nivel de riesgo por la aparición de código malicioso que se aproveche de este problema.

Son vulnerables todas las versiones conocidas de QuickTime, incluyendo la publicada recientemente (7.31.1.70 de diciembre de 2007). No existe al momento actual, una solución oficial para el problema.

No es la primera vez que se detecta un problema con el protocolo RTSP y QuickTime.

Se sugiere deshabilitar la asociación con archivos RTSP en QuickTime. Para ello, seleccione las propiedades del programa, “File Types”, y en “Streaming – Streaming movies”, desmarque la opción “RTSP stream descriptor”.

Otra opción, es utilizar otro reproductor.

Referencias:

Vulnerability Note VU#112179: Apple QuickTime RTSP Response message Reason-Phrase buffer overflow vulnerability

http://www.kb.cert.org/vuls/id/112179

Buffer-overflow in QuickTime Player 7.3.1.70

http://www.milw0rm.com/exploits/4885

Relacionados:

QuickTime 7.3.1 corrige vulnerabilidades críticas

http://www.vsantivirus.com/quicktime-731-131207.htm

Error de QuickTime explotado activamente en Internet

http://www.vsantivirus.com/03-12-07.htm

Vulnerabilidad en protocolo RTSP de Apple QuickTime

http://www.vsantivirus.com/vul-quicktime-rtsp-010107.htm

Créditos:
Luigi Auriemma

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

En QuickTime 7.3.1 se corrigen por ejemplo tres de esas vulnerabilidades críticas – como mínimo – y de hecho una de las cuales había causado un agujero de seguridad realmente importante que según Symantec ha sido utilizada por los hackers para lograr acceso a varios sitios web.

Además de eso ha aparecido Java 6 para Mac OS X 10.4 Tiger, que también corregía una docena de vulnerabilidades, una de las cuales llevaba al descubierto un año, y que ‘afortunadamente’ no estaba presente en el nuevo Leopard.

En ambas actualizaciones software se recomienda actualizar esos componentes, pero no se da ninguna razón, y desde luego no se menciona que se corrigen agujeros de seguridad críticos, algo que es realmente lamentable y que parece significar que Apple ‘prefiere’ que los usuarios no conozcan el hecho de que las vulnerabilidades también pueden afectar a su sistema operativo.

Enlace relacionado:

http://www.theregister.co.uk/2007/12/15/apple_security_fixes/

Fuente:

http://www.theinquirer.es/2007/12/17/apple_esconde_sus_vulnerabilidades.html

La explotación se produce a través del protocolo RTSP (Real Time Streaming Protocol), utilizado para realizar streaming, técnica de transmisión unidireccional de contenidos de video y audio a través de Internet.

Se sabe que la vulnerabilidad está siendo explotada al menos a través de un servidor comprometido, y provoca la descarga de dos archivos maliciosos en el equipo de la víctima.

En este momento, Apple no ha publicado todavía ninguna actualización de QuickTime para solucionar el problema. El ataque provoca un desbordamiento de búfer, provocado por un insuficiente control en QuickTime sobre el tamaño de ciertos datos recibidos.

Son vulnerables tanto Windows como OS X (Macintosh), aunque los ataques deben ser específicos para cada uno de estos sistemas operativos.

Apple ha corregido al menos 32 agujeros de seguridad en QuickTime en lo que va de 2007. En 2006 corrigió 28, mientras en 2005 solo 5 problemas graves de seguridad aparecen documentados.

Al tratarse de un programa de uso muy popular, QuickTime se ha convertido en un blanco preferido por muchos atacantes. Además, como QuickTime es parte de iTunes, los usuarios de este último también son afectados.

iTunes es la aplicación creada por Apple para reproducir, organizar y comprar música en Internet.

Aunque no es una solución ideal debidos a los diferentes vectores que podrían utilizarse para un ataque, se sugiere deshabilitar la asociación con archivos RTSP en QuickTime. Para ello, seleccione las propiedades del programa, “File Types”, y en “Streaming – Streaming movies”, desmarque la opción “RTSP stream descriptor”.

Otras opciones sugeridas, son filtrar los puertos utilizados comúnmente para la transmisión de datos vía RTSP (TCP 554, y UDP 6970 al 6999).

Para usuarios de Firefox y otros navegadores de Mozilla, se sugiere desactivar el complemento para QuickTime.

Para usuarios de Internet Explorer, es necesario aplicar el “kill-bit” a los siguientes identificadores de clases (controles ActiveX para
QuickTime):

{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
{4063BE15-3B08-470D-A0D5-B37161CFFD69}

El “kill-bit” es un valor en el registro que evita que un control ActiveX determinado se instale o ejecute.

Para ello descargue y ejecute el siguiente archivo .REG para modificar el registro:

http://www.videosoft.net.uy/quicktime-stream-killbit.reg

Si por alguna razón quisiera deshacer los cambios hechos, solo descargue y ejecute el siguiente archivo:

http://www.videosoft.net.uy/quicktime-stream-killbit-normal.reg

Más información:

Active exploit site for QuickTime RTSP Response vulnerability
http://isc.sans.org/diary.html?storyid=3713

Exploit for Apple QuickTime Vulnerability in the Wild
http://tinyurl.com/28ukts

Usuarios de QuickTime en peligro por exploit Zero-day
http://www.vsantivirus.com/vul-quicktime-261107.htm

Apple QuickTime RTSP Response Header Content-Length Remote Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/26560/info

Apple QuickTime RTSP Content-Type header stack buffer overflow
http://www.kb.cert.org/vuls/id/659761

CVE-2007-6166 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6166
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-6166

Relacionados:

Vulnerabilidad en protocolo RTSP de Apple QuickTime
http://www.vsantivirus.com/vul-quicktime-rtsp-010107.htm

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

Versiones Afectadas
Son afectados por esta vulnerabilidad:

Apple QuickTime versiones 4 a 7.3 inclusive, tanto en sistemas Windows como en sistemas Mac OS X
Apple iTunes instala QuickTime, por lo tanto cualquier sistema con iTunes es vulnerable.

Detalle
Un atacante podría aprovechar una vulnerabilidad en el manejo de los encabezados Content-Type de los paquetes RTSP para ejecutar código arbitrario en forma remota o causar Denegación de Servicio (DoS).
Dicha vulnerabilidad puede ser explotada si se convence a un usuario de conectarse a un RTSP stream especialmente modificado.
Existe un programa circulando que permite explotar dicha vulnerabilidad.

Impacto
El impacto de esta vulnerabilidad es CRÍTICO.

Recomendaciones
El fabricante aún no ha publicado actualizaciones. Se recomienda aplicar las siguientes soluciones temporales:

• Bloquear el protocolo RTSP en el proxy o mediante reglas de firewall. El protocolo RTSP (default 554/tcp y 6970-6999/udp) puede usar una gran variedad de puertos, por lo que bloquear el protocolo en un puerto particular puede no ser suficiente.
• Deshabilitar los controles ActiveX de QuickTime ActiveX en Internet Explorer.
• Deshabilitar el plug-in de Quicktime para los navegadores basados en Mozilla.
• Deshabilitar la asociación de archivos para los archivos QuickTime.
• Deshabilitar JavaScript.
• No acceder a archivos QuickTime que provengan de fuentes no confiables.

Referencias
Para más información sobre este boletín:

US-CERT:

http://www.kb.cert.org/vuls/id/659761

Secunia:

http://secunia.com/advisories/27755/

Fuente: ArCERT

La vulnerabilidad está causada por un error al analizar sintácticamente los átomos de vídeo malformados, que podían resultar en un desbordamiento de pila al analizar uno de tamaño excesivamente grande. Ésto podría ser explotado por un atacante remoto para ejecutar código arbitrario con los credenciales de un usuario autenticado si el usuario visita una página web maliciosa.

La vulnerabilidad está confirmada para la versión 7.2 y puede afectar a otras versiones.

Se recomienda actualizar a la versión 7.3. Según plataforma, disponible desde:

http://www.apple.com/support/downloads/

Más Información:

Apple Quicktime Movie Stack Overflow Vulnerability

http://dvlabs.tippingpoint.com/advisory/TPTI-07-20

Laboratorio Hispasec
laboratorio@hispasec.com

QuickTime es un reproductor multimedia que permite al usuario visualizar contenido de audio y video tanto local como remoto.

El programa utiliza formatos de metadata (pequeños archivos que hacen referencia al verdadero archivo multimedia), para lograr acciones como la reproducción automática. Estos formatos están escritos en XML y son almacenados como enlaces de contenidos de QuickTime con extensión .QTL.

Debido a una vulnerabilidad provocada por la manera en que la aplicación procesa las direcciones URL en los archivos QTL, un atacante puede lograr la inyección de comandos cuando el usuario visualiza un archivo malicioso.

La actualización publicada resuelve este problema.

Puede instalarse utilizando la propia aplicación de actualización del programa, o desde el sitio de descargas de Apple.

Tanto para activar la opción de actualización de software de Apple, como para descargar el parche mencionado, puede dirigirse al siguiente enlace para obtener más información:

Acerca de la actualización de seguridad para QuickTime 7.2

http://docs.info.apple.com/article.html?artnum=306560-es

Versión NO vulnerable:

- Apple QuickTime 7.2.0.245 o superior.

Relacionados:

CVE-2007-4673 (Common Vulnerabilities and Exposures project)

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4673

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-4673

Apple QuickTime for Windows Remote Code Execution Vulnerability

http://www.securityfocus.com/bid/25913

Apple Downloads

http://www.apple.com/support/downloads/

Ejecución de código vía Firefox y QuickTime plugin

http://www.vsantivirus.com/vul-quicktime-firefox-120907.htm

Ejecución de código vía Internet Explorer y QuickTime

http://www.vsantivirus.com/vul-quicktime-ie-190907.htm

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com