DFN-CERT-2014-0238 Apple Quicktime: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Windows]

DFN-CERT-2014-0238 Apple Quicktime: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apple Quicktime <= 7.7.4 Betroffene Plattformen: Microsoft Windows Microsoft Windows 7 Microsoft Windows Vista Microsoft Windows XP >= Sp2

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentifizierten
Angreifer beliebige Programme zur Ausführung zu bringen.

Patch:

Apple Security Update HT6151

http://support.apple.com/kb/HT6151

CVE-2014-1251: Schwachstelle in Quicktime

In der Behandlung von ‘clef’ atoms kann es mangels ausreichender Überprüfung
von Grenzen eines Puffers zu einem Pufferüberlauf kommen. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um die
Anwendung abstürzen zu lassen oder beliebigen Code auszuführen, wenn er
einen Benutzer dazu bringen kann, ein schädliches Video abzuspielen.

CVE-2014-1250: Schwachstelle in Quicktime

In der Behandlung von ‘ttfo’ elements kann es mangels ausreichender
Überprüfung von Grenzen eines Puffers zu einem Pufferüberlauf kommen. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um die Anwendung abstürzen zu lassen oder beliebigen Code
auszuführen, wenn er einen Benutzer dazu bringen kann, ein schädliches Video
abzuspielen.

CVE-2014-1249: Schwachstelle in Quicktime

In der Behandlung von PSD-Bilder kann es mangels ausreichender Überprüfung
von Grenzen eines Puffers zu einem Pufferüberlauf kommen. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um die
Anwendung abstürzen zu lassen oder beliebigen Code auszuführen, wenn er
einen Benutzer dazu bringen kann, ein präpariertes PSD-Bild anzeigen zu
lassen.

CVE-2014-1248: Schwachstelle in Quicktime

In der Behandlung von ‘ldat’ atoms kann es mangels ausreichender Überprüfung
von Grenzen eines Puffers zu einem Pufferüberlauf kommen. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um die
Anwendung abstürzen zu lassen oder beliebigen Code auszuführen, wenn er
einen Benutzer dazu bringen kann, ein schädliches Video abzuspielen.

CVE-2014-1247: Schwachstelle in Quicktime

In der Behandlung von movie files kann es mangels ausreichender Überprüfung
von Grenzen eines Puffers zu einem Pufferüberlauf kommen. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um die
Anwendung abstürzen zu lassen oder beliebigen Code auszuführen, wenn er
einen Benutzer dazu bringen kann, ein präpariertes Video abzuspielen.

CVE-2014-1246: Schwachstelle in Quicktime

In der Behandlung von movie files kann es mangels ausreichender Überprüfung
von Grenzen eines Puffers zu einem Pufferüberlauf kommen. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um die
Anwendung abstürzen zu lassen oder beliebigen Code auszuführen, wenn er
einen Benutzer dazu bringen kann, ein präpariertes Video abzuspielen.

CVE-2014-1245: Schwachstelle in Quicktime

In der Behandlung von movie files kann es mangels ausreichender Überprüfung
von Grenzen eines Puffers zu einem Pufferüberlauf kommen. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um die
Anwendung abstürzen zu lassen oder beliebigen Code auszuführen, wenn er
einen Benutzer dazu bringen kann, ein präpariertes Video abzuspielen.

CVE-2014-1244: Schwachstelle in Quicktime

In der Behandlung von H.264 Videos kann es mangels ausreichender Überprüfung
von Grenzen eines Puffers zu einem Pufferüberlauf kommen. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um die
Anwendung abstürzen zu lassen oder beliebigen Code auszuführen, wenn er
einen Benutzer dazu bringen kann, ein schädliches Video abzuspielen.

CVE-2014-1243: Schwachstelle in Quicktime

In der Verwaltung von Wiedergabelisten wird ein Zeiger nicht initialisiert.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um die Anwendung abstürzen zu lassen oder beliebigen Code
auszuführen, wenn er einen Benutzer dazu bringen kann, ein schädliches Video
abzuspielen.

CVE-2013-1032: Fehlerhafte Speicherzuordnung bei Quicktime

Bei der Anzeige von durch Angreifer entsprechend vorbereiteten Filmen kann
es zu einem Eingriff in die Speicherzuordnung der Anwendung kommen.
Hierdurch kann der Angreifer Einfluss auf die ausgeführten Programme nehmen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0238/

Schwachstelle CVE-2013-1032 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1032

Schwachstelle CVE-2014-1247 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1247

Schwachstelle CVE-2014-1246 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1246

Schwachstelle CVE-2014-1244 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1244

Schwachstelle CVE-2014-1245 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1245

Schwachstelle CVE-2014-1243 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1243

Schwachstelle CVE-2014-1248 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1248

Schwachstelle CVE-2014-1250 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1250

Schwachstelle CVE-2014-1251 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1251

Schwachstelle CVE-2014-1249 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1249

Apple Security Update HT6151:
http://support.apple.com/kb/HT6151

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben