Vulnerabilidad en Quicktime Player permite ejecución de código a través de Firefox

 

Se ha encontrado una vulnerabilidad en QuickTime Player que puede permitir a un atacante ejecutar código arbitrario en el sistema víctima si abre un fichero multimedia especialmente manipulado. El fallo se agrava cuando Firefox se convierte en el vector de ataque.

 

QuickTime player es un popular reproductor multimedia de Apple que forma parte de la arquitectura multimedia estándar del mismo nombre. Puede encontrarse como reproductor individual o como "plugin" para navegadores como Firefox, Internet Explorer y Opera.

 

El fallo se debe a un error de diseño a la hora de procesar el parámetro qtnext dentro de ficheros QuickTime link (.qtl). Esto podría permitir a un atacante ejecutar código si la víctima abre con un reproductor vulnerable un fichero especialmente manipulado o visita una web también especialmente manipulada para aprovechar la vulnerabilidad. En concreto, un fallo a la hora de depurar contenido XML permite a un atacante ejecutar JavaScript incrustado, comprometiendo el navegador y probablemente el sistema operativo.

 

El descubridor ya publicó un problema muy parecido de Quicktime en septiembre de 2006, que según dice fue ignorado por Apple. Ahora el fallo ha sido estudiado con mayor profundidad y se considera de riesgo muy alto. Ha colgado en su web una prueba de concepto que permite ejecución de código directa si se visita el enlace con Firefox. Según su descubridor Internet Explorer también es vulnerable, pero el impacto es menor gracias a la política interna de zonas del navegador. También parece igualmente que sólo bajo Windows se es vulnerable y posiblemente bajo Mac OS X.

 

No existe parche oficial. Se recomienda no visitar páginas que contentan enlaces Quicktime no solicitados. eEye recomienda en cualquier caso, deshabilitar los plugins en los navegadores, renombrado los ficheros npqt*.dll o nppqt*.dll en el directorio correspondiente o (para Internet

Explorer) activar el kill bit de QuickTime con los CLSID 02BF25D5-8C17-4B23-BC80-D3488ABDDC6B y 4063BE15-3B08-470D-A0D5-B37161CFFD69. Firefox dice estar trabajando ya en una nueva versión que impida que el navegador se convierta en el desencadenante de la vulnerabilidad.

 

En todos los casos, y como medida básica de seguridad, se recomienda hacer uso de NoScript (plugin para Firefox) o las zonas de Internet Explorer (funcionalidad integrada para deshabilitar la ejecución de JavaScript en páginas no confiables).

 

 

Más información:

 

Quicktime pwns firefox

http://www.gnucitizen.org/blog/0day-quicktime-pwns-firefox

 

Year-old QuickTime bug gives hackers new drive-by attack

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9036418

 

QTL Arbitrary JavaScript Execution

http://research.eeye.com/html/alerts/zeroday/20060920.html

 

Fuente: 

Laboratorio Hispasec

laboratorio@hispasec.com

Deja un comentario