Con fecha del 27 de Junio del 2012 se ha hecho pública una vulnerabilidad con el identificador CVE-2011-3459 en el reproductor QuickTime de la compañía Apple, descubierta por el investigador italiano Luigi Auriemma que podría permitir la ejecución de código arbitrario a través una página web maliciosa o un archivo malintencionado. El 21 de Octubre del 2011 fue reportada esta vulnerabilidad a Apple y se ha hecho pública después de 8 meses y 6 días. Apple ha publicado una actualización para corregir esta vulnerabilidad con la última versión de QuickTime 7.7.2. Se pueden encontrar más detalles en el enlace siguiente: https://support.apple.com/kb/HT5130

QuickTime Player es un reproductor multimedia popular incluido en los equipos con sistemas operativos Mac OS X y disponible también para los sistemas operativos Windows.

Detalles de la vulnerabilidad

Esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en instalaciones vulnerables de QuickTime Player. La interacción del usuario es necesaria para aprovechar esta vulnerabilidad el cual debe visitar una página maliciosa o abrir un archivo malintencionado.

La vulnerabilidad específica ocurre al procesar un archivo de película que contiene múltiples atoms (átomos) con una longitud de cadena diferente. Los  atoms son bloques de información incluidos en un archivo de video. Al cambiar el tamaño de búfer para hacer espacio para la cadena, la aplicación se olvida de incluir el terminador null (nulo). Cuando la aplicación intenta terminar la cadena, se produce una escritura fuera de los límites (out-of-bounds). Si un atacante puede colocar código malicioso en el montículo (heap) contiguo a la cadena redistribuida, esto puede conducir a la ejecución de código en el contexto de la aplicación.

Estos archivos de video malintencionados especialmente manipulados pueden estar ubicados en una página web y podrían ser invocados a través del navegador web por medio de la extensión de QuickTime. Por lo tanto dada las implicaciones que podría tener para el sistema operativo de los usuarios que utilizan este reproductor multimedia se les recomienda que se actualicen a la mayor brevedad posible a la última versión de QuickTime 7.7.2.

Traducción: Velcro

Fuente: Zero Day Initiative