7.7.5より前のQuickTimeの複数の脆弱性(Windows)

high Nessus プラグイン ID 72706

概要

リモート Windows ホストに、複数の脆弱性の影響を受けることがあるアプリケーションが、含まれています。

説明

リモート Windows ホストにインストールされている QuickTime のバージョンは 7.7.5 より前です。そのため、以下の脆弱性の影響を受ける可能性があります:

- QuickTimeの画像の説明および「ttfo」要素の処理に、領域外のバイトのスワッピングの問題が存在します。(CVE-2013-1032、CVE-2014-1250)

- 追跡リストの処理に、初期化されていないポインターの問題が存在します。(CVE-2014-1243)

- H.264エンコードされた動画ファイル、「ftab」アトム、「ldat」アトム、PSD画像、「clef」アトムの処理にバッファオーバーフローの脆弱性が存在します。(CVE-2014-1244、CVE-2014-1248、CVE-2014-1249、CVE-2014-1251)

- 「stsz」アトムの処理に、符号の問題が存在します。(CVE-2014-1245)

- 「dref」アトムの処理に、メモリ破損の問題が存在します。(CVE-2014-1247)

これらの問題の悪用が成功すると、プログラムが停止させられたり、ユーザーの権限に属している任意のコードが実行されたりします。

ソリューション

QuickTime 7.7.5以降にアップグレードしてください。

関連情報

https://www.zerodayinitiative.com/advisories/ZDI-14-044/

https://www.zerodayinitiative.com/advisories/ZDI-14-045/

https://www.zerodayinitiative.com/advisories/ZDI-14-046/

https://www.zerodayinitiative.com/advisories/ZDI-14-047/

https://www.zerodayinitiative.com/advisories/ZDI-14-048/

https://www.zerodayinitiative.com/advisories/ZDI-14-049/

https://support.apple.com/en-us/HT204527

https://lists.apple.com/archives/security-announce/2014/Feb/msg00002.html

https://www.securityfocus.com/archive/1/531268/30/0/threaded

プラグインの詳細

深刻度: High

ID: 72706

ファイル名: quicktime_775.nasl

バージョン: 1.8

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2014/2/26

更新日: 2018/11/15

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 6.9

ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:apple:quicktime

必要な KB アイテム: SMB/QuickTime/Version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/2/25

脆弱性公開日: 2013/9/13

参照情報

CVE: CVE-2013-1032, CVE-2014-1243, CVE-2014-1244, CVE-2014-1245, CVE-2014-1246, CVE-2014-1247, CVE-2014-1248, CVE-2014-1249, CVE-2014-1250, CVE-2014-1251

BID: 62375, 65777, 65784, 65786, 65787

APPLE-SA: APPLE-SA-2014-02-25-3