Apple ha publicado un nuevo Security Update de software para la plataforma (Mac) OS X, el cual es totalmente recomendable instalar ya en tus equipos. En la actualización existen un total de 3 CVEs solucionados, los cuales tienen un impacto de nivel crítico dentro de la seguridad del sistema, por lo que se debe instalar lo antes posible.
Este pack de actualizaciones se centra en la aplicación QuickTime en la cual se han detectado distintas vulnerabilidades que provocaban ejecución de código arbitrario y se podría tomar el control de una máquina remota gracias a la ejecución de una shellcode inyectada por una ejecución no controlada en QuickTime.
La primera vulnerabilidad de la que se hablará es la correspondiente al CVE-2013-1019, descubierta por los investigadores Tom Gallagher y Paul Bates de Microsoft, trabajando con HP's Zero Day Initiative. En esta vulnerabilidad es explotada al ejecutar un archivo malicioso de una película de QuickTime en la que el manejador de encoding no puede controlar correctamente provocando la caída de la aplicación o en el peor de los casos, la temida ejecución de código arbitrario.
La segunda vulnerabilidad corregida de QuickTime que nos encontramos es la correspondiente con el CVE-2013-1018. La ejecución de un archivo malicioso puede provocar un buffer overflow en el manejadore del códec H.264, provocando de nuevo o la caída de la aplicación o la ejecución de código arbitrario. Los responsables de la detección de esta vulnerabilidad es G.Geshev trabajando conjuntamente con HP's Zero Day Initiative.
La tercera vulnerabilidad corresponde con el CVE-2013-1022, la cual ha sido descubierta por Andrea Micalizzi, también trabajando con HP's Zero Day Initiative. Esta vulnerabilidad explica la existencia de un buffer overflow en el manejador mvhd 'atoms' de QuickTime.
Como se puede comprobar en la imagen anterior las versiones afectadas de los sistemas operativos de Apple son todos los que se encuentran con soporte. Desde Mac OS X Snow Leopard 10.6.8, versión cliente y servidor OS X Lion 10.7.5, y OS X Montain Lion versión 10.8.4 cliente y servidor. Puedes descargar esta versión desde la Mac App Store, Software Updates o desde las URL de descargas de Apple:
- Security Update 2013-003 Server (Snow Leopard)
- Security Update 2013-003 (Snow Leopard)
- Security Update 2013-003 Server (Lion)
- Security Update 2013-003 (Lion)
- Security Update 2013-003 (Mountain Lion)
No hay comentarios:
Publicar un comentario