| Artículos | 01 DIC 2004

Este mes destacamos varias vulnerabilidades descubiertas en algunos de los reproductores multimedia más populares entre los internautas, como son RealPlayer y Quick Time, así como en el extendido programa Adobe Acrobat para visualizar documentos en formato PDF

Tags: Histórico
Gonzalo Alvarez.
Vulnerabilidades en QuickTime
QuickTime Player es la sólida propuesta de Apple para la reproducción multimedia, totalmente integrado con el navegador. Con más de diez años a sus espaldas reproduciendo películas y sonidos, es uno de los programas más veteranos. Aunque está perdiendo terreno frente a otros reproductores, como Windows Media Player, todavía existen numerosos vídeos en Internet en el formato .mov de QuickTime, como la mayoría de tráileres de películas de cine. Característica curiosa, también sirve como visor de imágenes de su disco duro.
Las dos vulnerabilidades descubiertas, consideradas críticas, tienen que ver con sendos desbordamientos de búfer. El primero permite la ejecución de código arbitrario en una página HTML. El segundo se produce al leer imágenes BMP maliciosas que podrían conducir a la ejecución de código arbitrario en el equipo de la víctima.

Solución
Se recomienda a los usuarios de Quick­Time 6.x que se actualicen a la última versión disponible, la 6.5.2, en la que estos problemas han sido corregidos. Se puede descargar desde www.apple.com/support/downloads/quicktime652.html.


Más problemas en RealPlayer
En los últimos meses, RealPlayer está protagonizando numerosos incidentes de seguridad. En esta ocasión, se trata de una vulnerabilidad crítica debida a un desbordamiento de búfer que podría permitir la ejecución de código arbitrario a través de un archivo de piel (skin) malicioso. Los archivos de pieles (extensión .rjs) constan de un conjunto de gráficos y un archivo .ini, compactados en formato ZIP. Se utiliza la biblioteca DUNZIP32.DLL, incorporada con el propio Real, para abrir el archivo ZIP y extraer sus contenidos. Al abrir un archivo .rjs con un nombre suficientemente largo, ya sea a través de RealPlayer o del navegador, se produce el desbordamiento de búfer.

Solución
RealNetworks ha publicado toda la información relativa a esta vulnerabilidad, así como instrucciones para descargar el parche que la soluciona, en service.real.com/help/faq/security/041026_player/ES-XM. Los archivos de pieles publicados por RealNetworks han sido verificados para asegurar que no esconden contenido malicioso. Tenga precaución con archivos de pieles descargados desde otros sitios de Internet.


Fallo en Adobe Acrobat Reader 6
Se ha descubierto una vulnerabilidad en la versión 6 del popular programa para lectura e impresión de documentos PDF, Adobe Acrobat Reader, instalado en la práctica totalidad de equipos del mundo. Se relaciona con la forma es que Acrobat Reader gestiona la inserción de archivos Flash de Macromedia directamente dentro de un archivo PDF. Este defecto podría permitir al creador de un sitio web malicioso robar archivos del disco duro local de la víctima, incluyendo cookies.

Solución
En espera de que Adobe publique un parche para resolver este problema, se puede desactivar el soporte de Javascript en Acrobat: seleccione Edición » Preferencias » JavaScript y desactive la casilla Activar JavaScript para Acrobat.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información