7.7.6より前のQuickTimeの複数の脆弱性(Windows)
high Nessus プラグイン ID 78678
Language:
概要
リモートWindowsホストに、複数の脆弱性の影響を受けるアプリケーションがあります。説明
リモート Windows ホストにインストールされた Apple QuickTime のバージョンは、7.7.6 以前のバージョンです。したがって、次の脆弱性の影響を受けます:- 特別に細工されたRLEエンコードの動画を処理する際に、ユーザー指定の入力が適切にサニタイズされないため、メモリ破損の欠陥が存在します。(CVE-2014-1391)
- 特別に細工されたMIDIファイルを解析する際に、ユーザー指定の入力が適切に検証されないため、バッファオーバーフローの欠陥が存在します。(CVE-2014-4350)
- 特別に細工されたM4Aファイルを解析する際に、ユーザー指定の入力が適切に検証されないため、バッファオーバーフローの欠陥が存在します。(CVE-2014-4351)
- 無効な形式のバージョン番号およびフラグを処理する際に、ユーザー指定の入力が適切にサニタイズされないため、mvhd atomにメモリ破損の欠陥が存在します。(CVE-2014-4979)
リモートの攻撃者がこれらの問題の悪用に成功すると、ユーザーの権限に従って、プログラムの終了や任意のコードの実行を引き起こす可能性があります。
ソリューション
QuickTime 7.7.6以降にアップグレードしてください。参考資料
https://support.apple.com/en-us/HT203092
https://www.securityfocus.com/archive/1/533790/30/0/threaded
プラグインの詳細
深刻度: High
ID: 78678
ファイル名: quicktime_776.nasl
バージョン: 1.6
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2014/10/24
更新日: 2018/11/15
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: cpe:/a:apple:quicktime
必要な KB アイテム: SMB/QuickTime/Version
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/10/22
脆弱性公開日: 2014/7/23
参照情報
CVE: CVE-2014-1391, CVE-2014-4350, CVE-2014-4351, CVE-2014-4979
BID: 68852, 69907, 69908, 70643
APPLE-SA: APPLE-SA-2014-10-22-1