[SECURITY-L] CAIS-Alerta: Vulnerabilidades no Apple QuickTime
CSIRT - UNICAMP
security em unicamp.br
Sex Jan 25 09:25:33 -02 2008
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidades no Apple QuickTime
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Thu, 17 Jan 2008 18:42:38 -0200 (BRST)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' repassando o alerta do US-CERT, intitulado "Technical Cyber
Security Alert TA08-016A - Apple QuickTime Updates for Multiple
Vulnerabilities", que trata de quatro vulnerabilidades identificadas no
tocador multimidia Apple QuickTime.
A versao 7.4 do Apple QuickTime resolve diversas vulnerabilidades
encontradas em versoes anteriores do aplicativo, capazes de permitir a
execucao de codigo malicioso arbitrario no sistema afetado. Estas
vulnerabilidades podem ser exploradas atraves da execucao de arquivos
maliciosos em um sistema com uma versao vulneravel do QuickTime. Uma vez
que o QuickTime e' uma aplicacao integrada a diversos navegadores, a
facilidade de exploracao destas vulnerabilidades torna-se bastante ampla.
Sistemas afetados:
. Apple QuickTime anterior a 7.4 em sistemas Apple Mac OS X
. Apple QuickTime anterior a 7.4 em sistemas Microsoft Windows
Correcoes disponiveis:
Recomenda-se fazer a atualizacao para as versoes disponiveis em:
. Apple QuickTime em sistemas Mac OS X Leopard
http://www.apple.com/support/downloads/quicktime74forleopard.html
. Apple QuickTime em sistemas Mac OS X Tiger
http://www.apple.com/support/downloads/quicktime74fortiger.html
. Apple QuickTime em sistemas Mac OS X Panther
http://www.apple.com/support/downloads/quicktime74forpanther.html
. Apple QuickTime em sistemas Microsoft Windows
http://www.apple.com/quicktime/download/win.html
Mais informacoes:
. About the security content of QuickTime 7.4
http://docs.info.apple.com/article.html?artnum=307301
. TA08-016A - Apple QuickTime Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-016A.html
. SA28502 - Apple QuickTime Multiple Vulnerabilities
http://secunia.com/advisories/28502/
Identificador CVE (http://cve.mitre.org): CVE-2008-0031, CVE-2008-0032,
CVE-2008-0033, CVE-2008-0036
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBR4+9xOkli63F4U8VAQGMRQP/QCMF7jZXiM8XdcQEoJwidAXoDSDwexBR
6rKm/lR9ljmI57RKfGZxl27VTeGrjAJHrIGdu9O9tBhez1KYxhJvdC06AvhQZLac
Z1AS97PxSHRkRINBQ0j//oc8/dv6yUhE3bOEJ6DXRRhMhcJW2De62xjx71gHOF+H
S04CooKpD9g=
=CDgJ
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L