VulDB: Apple QuickTime SMIL Parsing Pufferüberlauf
Allgemein
scipID: 3190
Betroffen: Apple QuickTime bis 7.2
Veröffentlicht: 12.07.2007 (Apple)
Risiko: 
kritisch
Beschreibung
QuickTime ist eine von der Firma Apple entwickelte Multimedia-Architektur für Mac OS und Windows. Diese besteht im Kern aus drei Elementen: dem Framework, dem API und dem Dateiformat. Basisanwendungen, die auf diese Architektur aufbauen, sind z. B. der QuickTime Player, der QuickTime Broadcaster oder der QuickTime Streaming Server. QuickTime wird irrtümlicherweise zumeist auf den QuickTime Player reduziert. Dabei arbeitet es als zugrunde liegender technologischer Unterbau in zahlreichen Applikationen beider Betriebssysteme, wie z. B. Adobe Premiere, Apple Logic, Optibase Media 100, Apple iTunes, Final Cut Pro oder den Avid-Videoschnittprogrammen. Ein heap-basierter Pufferüberlauf tritt beim Parsing der "author" und "title" Felder von SMIL Dateien auf, der einem Angreifer die Ausführung beliebigen Codes beim Abspielen eines entsprechenden Files ermöglicht.
Apple beschreibt in einem Sammeladvisory verschiedene Lücken in Quicktime, die es einem Angreifer erlauben teils kritische Angriffe auf die Systeme potentieller Opfer mit installiertem Quicktime Player zu verüben. Aufgrund der grossen Verbreitung und der einfachen Zugänglichkeit per Browser Plugin empfiehlt es sich in jedem Fall, ein baldiges Update anzustreben.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://docs.info.apple.com/article.html?artnum=305947
Snort: –
Pattern: –
Quellen
Advisory: http://docs.info.apple.com/article.html?artnum=305947
CVE: CVE-2007-2393
OSVDB: 36135
Securityfocus: –
Secunia: 26034
X-Force: 35359
Securitytracker: –
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: Marc Ruef (2007), Die Kunst des Penetration Testing, C&L Verlag, ISBN 3936546495 (amazon.de)
