[SECURITY-L] CAIS-Alerta: Vulnerabilidades no Apple QuickTime

CSIRT - UNICAMP security em unicamp.br
Sex Jan 25 09:25:33 -02 2008 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Vulnerabilidades no Apple QuickTime
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Thu, 17 Jan 2008 18:42:38 -0200 (BRST)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' repassando o alerta do US-CERT, intitulado "Technical Cyber 
Security Alert TA08-016A - Apple QuickTime Updates for Multiple 
Vulnerabilities", que trata de quatro vulnerabilidades identificadas no 
tocador multimidia Apple QuickTime.

A versao 7.4 do Apple QuickTime resolve diversas vulnerabilidades 
encontradas em versoes anteriores do aplicativo, capazes de permitir a 
execucao de codigo malicioso arbitrario no sistema afetado. Estas 
vulnerabilidades podem ser exploradas atraves da execucao de arquivos 
maliciosos em um sistema com uma versao vulneravel do QuickTime. Uma vez 
que o QuickTime e' uma aplicacao integrada a diversos navegadores, a 
facilidade de exploracao destas vulnerabilidades torna-se bastante ampla.


Sistemas afetados:

. Apple QuickTime anterior a 7.4 em sistemas Apple Mac OS X
. Apple QuickTime anterior a 7.4 em sistemas Microsoft Windows


Correcoes disponiveis:

Recomenda-se fazer a atualizacao para as versoes disponiveis em:

. Apple QuickTime em sistemas Mac OS X Leopard
  http://www.apple.com/support/downloads/quicktime74forleopard.html

. Apple QuickTime em sistemas Mac OS X Tiger
  http://www.apple.com/support/downloads/quicktime74fortiger.html

. Apple QuickTime em sistemas Mac OS X Panther
  http://www.apple.com/support/downloads/quicktime74forpanther.html

. Apple QuickTime em sistemas Microsoft Windows
  http://www.apple.com/quicktime/download/win.html


Mais informacoes:

. About the security content of QuickTime 7.4
  http://docs.info.apple.com/article.html?artnum=307301

. TA08-016A - Apple QuickTime Updates for Multiple Vulnerabilities
  http://www.us-cert.gov/cas/techalerts/TA08-016A.html

. SA28502 - Apple QuickTime Multiple Vulnerabilities
  http://secunia.com/advisories/28502/


Identificador CVE (http://cve.mitre.org): CVE-2008-0031, CVE-2008-0032,
                                          CVE-2008-0033, CVE-2008-0036

O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as ultimas versoes e 
correcoes oferecidas pelos fabricantes.


Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBR4+9xOkli63F4U8VAQGMRQP/QCMF7jZXiM8XdcQEoJwidAXoDSDwexBR
6rKm/lR9ljmI57RKfGZxl27VTeGrjAJHrIGdu9O9tBhez1KYxhJvdC06AvhQZLac
Z1AS97PxSHRkRINBQ0j//oc8/dv6yUhE3bOEJ6DXRRhMhcJW2De62xjx71gHOF+H
S04CooKpD9g=
=CDgJ
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L