Le estamos haciendo saber a todos que deben seguir las indicaciones de Apple y desinstalar QuickTime for Windows lo antes posible.
Esto se debe a dos razones.
La primera es que Apple está desaprobando a QuickTime for Microsoft Windows. Ya no se emitirán actualizaciones de seguridad para el producto en la Plataforma Windows y se recomienda a los usuarios desinstalarlo. Hay que tener en cuenta que esto no se aplica a QuickTime on Mac OSX.
La segunda es que nuestra Zero Day Initiative acaba de dar a conocer dos asesorías en línea, ZDI-16-241 y ZDI-16-242, en las que se describen dos nuevas vulnerabilidades críticas que afectan a QuickTime for Windows. Estas asesorías se están lanzando de acuerdo con la Política de Divulgación de la Zero Day Initiative para cuando un proveedor no emite un parche de seguridad para una vulnerabilidad que se ha dado a conocer. Y debido a que Apple ya no ofrece actualizaciones de seguridad para QuickTime on Windows, no van a existir parches para estas vulnerabilidades.
Por ahora no hemos sabido de ataques activos contra estas vulnerabilidades, pero la única forma de proteger hoy sus sistemas Windows contra los ataques potenciales contra estas y otras vulnerabilidades de Apple QuickTime es desinstalarlo. En este sentido, QuickTime for Windows ahora se une a Microsoft Windows XP y Oracle Java 6 como software que ya no se recibe actualizaciones para solucionar las vulnerabilidades y que está sujeto a un mayor riesgo pues son cada vez más las vulnerabilidades que lo afectan y para las cuales ya no existen parches.
Usted puede consultar más información sobre cómo desinstalar Apple QuickTime for Windows en el sitio de Apple: https://support.apple.com/HT205771
Nuestros clientes de TippingPoint han estado protegidos contra estas vulnerabilidades desde el 24 de noviembre de 2015 con los filtros 21918(ZDI-CAN-3401) y 21919(ZDI-CAN-3402). Sin embargo, incluso con protecciones, la estrategia correcta es seguir la sugerencia de Apple y desinstalar QuickTime for Windows, que es la forma segura de protegerse contra todas las vulnerabilidades actuales y futuras del producto, ahora que Apple ya no tendrá actualizaciones de seguridad para él.
Para quienes desean conocer más detalles técnicos, estos son los puntos importantes: ambas son vulnerabilidades que permiten la ejecución remota de código de corrupción de heap (heap corruption). Una vulnerabilidad ocurre cuando un atacante puede escribir datos fuera de un heap buffer asignado. La otra vulnerabilidad ocurre en el átomo stco donde al proporcionar un índice inválido, un atacante puede escribir datos fuera de un heap buffer asignado. Ambas vulnerabilidades requerirían que el usuario visite una página web maliciosa o abra un archivo malicioso. Y ejecutarían código en el contexto de seguridad del reproductor QuickTime, el cual en la mayoría de los casos sería al que está conectado el usuario. Ambas vulnerabilidades tienen una calificación de CVSS 2.0 de 6.8. Para consultar más información, por favor visite:
- http://zerodayinitiative.com/advisories/ZDI-16-241/
- http://zerodayinitiative.com/advisories/ZDI-16-242/
Para consultar información adicional, por favor vea esta asesoría de US-CERT:
https://www.us-cert.gov/ncas/alerts/TA16-105A
Por favor, deje sus comentarios en la sección de abajo, o sígame en Twitter; @ChristopherBudd.
Leave a Reply