Apple QuickTime Sprite Transformation Arabellek Taşması Açıklığı

Kaynak:	SecurityFocus

Seviye:	Yüksek
Bildiri Sürümü:	1.0
Açıklanma Zamanı:	01.02.2011
Yenilenme Zamanı:	-
Etkilenen Sistemler:	Apple QuickTime Player 7.6.8 Apple QuickTime Player 7.6.7 Apple QuickTime Player 7.6.6 (1671) Apple QuickTime Player 7.6.6 Apple QuickTime Player 7.6.5 Apple QuickTime Player 7.6.4 Apple QuickTime Player 7.6.2 Apple QuickTime Player 7.6.1 Apple QuickTime Player 7.64.17.73 Apple QuickTime Player 7.6 Apple Mac OS X Server 10.6.4 Apple Mac OS X Server 10.6.3 Apple Mac OS X Server 10.6.2 Apple Mac OS X Server 10.6.1 Apple Mac OS X Server 10.6 Apple Mac OS X 10.6.4 Apple Mac OS X 10.6.3 Apple Mac OS X 10.6.2 Apple Mac OS X 10.6.1 Apple Mac OS X 10.6

CVE:	CVE-2010-3790
BID:	44794
Referanslar:	Üretici Firma Web sitesi http://www.apple.com Zero Day Initiative Danışmanlık -2 http://www.zerodayinitiative.com/advisories/ZDI-11-038/ SecurityFocus Bugtraq ID -4 http://www.securityfocus.com/bid/44794
Yazar(lar):	Fortinet FortiGuard Laboratuvarlı'ndan Honggang Ren

Açıklama:	Apple, platformlar arası ortam yürütücüsü QuickTime için bir yama yayınlamıştır. QuickTime, QuickTime API'yi çağırarak Sprite'ları dönüştürebilmektedir. Sprite'lar daha sonradan animasyonlandırabilinen sabit parçalı resimler veya videolardır. Bu API'deki özel bir dönüşüm, QuicTime'ın bu sprite'ı ölçeklemesine ve arabelleğin dışında bir alana yazmasını sağlayabilmektedir. Kullanıcının zararlı bir dosyayı görmesi sağlanarak bu arabellek taşması açıklığı saldırgan tarafından sömürülebilmekte ve kullanıcı bilgisayarında isteğe bağlı kod çalıştırmaya sebep olabilmektedir.
Etki:	İsteğe bağlı kod çalıştırma
Çözüm:	Üretici firma açıklığı kabul etmiş ve günvellemeler yayınlamıştır.

[ Geri ]

Görüşleriniz