Sunday, 6. April 2008, 12:26:25
QuickTime, Update, software, Security
1/
Apple QuickTimeApple released an update of QuickTime, fixing at least 11 security holes in it for both Mac and Windows.
Windows QuickTime users will need to use the bundled Apple Software Update application.
2/
Symantec Norton Symantec pluged two critical holes in ActivX control(SYMADATA.DLL).
Following versions are affected:
Norton 360 1.0
Norton AntiVirus Windows 2006 - 2008
Norton Internet Security 2006 - 2008
Norton System Works 2006 - 2008
A corrected version of the ActiveX is available for
download.
3/
Avast anti-virus Avast is anti-virus scanner and is free for home users.
Avast v4.8 adds anti-rootlit and anti-spyware functionarity.
To download its free edition, access
HERE.
4/
VLC Media Player For some time now, there have been several open security holes in VLC Media Player, MPlayer and Xine. VLC was released the latest version(0.8.6f) to plug several security holes.
To download it, access
HERE.
Saturday, 10. November 2007, 12:25:16
QuickTime, Computer
Update to version 7.3 or later.
http://www.apple.com/quicktime/download/NOTE: This version is not supported on Windows 2000.
From SECUNIA
Description:
Some vulnerabilities have been reported in Apple QuickTime, which can be exploited by malicious people to disclose sensitive information, bypass certain security restrictions, and compromise a user's system.
1) An error in the handling of image description atoms can be exploited to cause a memory corruption when a user is enticed to open a specially crafted movie file.
2) A boundary error in the handling of Sample Table Sample Descriptor (STSD) atoms can be exploited to cause a heap-based buffer overflow when a user opens a specially crafted movie file.
3) Multiple errors exist in QuickTime for Java. These can be exploited by untrusted Java applets to disclose sensitive information or to execute arbitrary code with escalated privileges when a user visits a web page containing a malicious Java applet.
4) A boundary error exists in the processing of panorama sample atoms in QTVR (QuickTime Virtual Reality) movie files, which can be exploited to cause a heap-based buffer overflow when a user is enticed to open a specially crafted movie file.
5) A boundary error in the processing of PICT image files can be exploited to cause a stack-based buffer overflow when a user opens a specially crafted PICT image file containing an invalid length for the "UncompressedQuickTimeData" opcode.
6) Errors exist in the parsing of Poly type opcodes (opcodes 0x0070-74) and the PackBitsRgn field (Opcode 0x0099) when processing PICT image files. These can be exploited to cause a heap corruption when a user opens a specially crafted PICT image file.
7) An error in the parsing of CTAB atoms can be exploited to cause a heap-based buffer overflow when a user opens a specially crafted movie file containing an invalid color table.
Successful exploitation of these vulnerabilities allows execution of arbitrary code.
The vulnerabilities are reported in QuickTime prior to version 7.3.
Secunia has constructed the Online Software Inspector, which you can use to check if your local system is vulnerable. If you wish to scan your corporate network, then please refer to the Network Software Inspector.
Wednesday, 2. May 2007, 13:13:58
QuickTime, Java, Computer, Update
...
Apple、セキュリティホールを塞いだQuickTimeをリリースWashingtonPost : Security Fix の和訳です。
Apple today issued a software update to plug a security hole in its QuickTime media player software. The flaw is present in both Mac OS X and Windows versions of the player.
Appleは本日、QuickTimeメディア プレイヤーにセキュリティホールを充てたアップグレードバージョンをリリースした。このフローはQuickTime PlayerのMac OS X と Windowsの両方のバージョンに存在している。Mac users can get the fix through Apple's site or via the built-in Software Update feature. Windows users can download the installer for the new version, or -- if they have a recent version of iTunes or QuickTime installed -- use the bundled Apple Software Update application.
MacユーザはAppleのサイトもしくは備え付けのSoftware Update機能を利用して修正版を入手できる。Windowsユーザは新しいバージョン用のインストーラ版をダウンロードできる。もしも、インストールしているiTunes もしくは QuickTimeが最新のバージョンであるのなら、同梱されているApple Software Update(【訳注】現バージョンのインストール時、Apple Software Updateをインストールするのチェックを外していなければ、インストールされています)を利用することも可能である。Matasano Security researcher Dino Dai Zovi discovered the security hole last month at the CanSecWest security conference in Vancouver, B.C., in response to a challenge wherein attendees were invited to find a previously undocumented way to break into a fully patched MacBook computer over a network. Zovi discovered the flaw after conference organizers relaxed the rules a bit and a $10,000 prize was added to the mix.
Matasano Securityの研究者 Dino Dai Zovi は先月バンクーバーで行われたCanSecWestセキュリティ カンファレンスでこのセキュリティホールを発見した。完全にパッチの充てられたネットワーク上のMacBookコンピュータに侵入するための未公開の方法の発見に招待された中で挑戦に応じたものであった。Zoviは会議の主催者がルールをほんの少し緩め、更に10,000$の賞金を上乗せした後に、このフローを発見した。Initially, the bug that Dai Zovi found was thought to be a security weakness in Safari, the default Web browser on the Mac. However, later research showed that the problem was with a Java component in QuickTime that could be exploited to break into vulnerable machines just by convincing a Mac user to visit a malicious Web site.
当初、Dai Zoviの発見したバグはSafari(MacのデフォルトのWebブラウザ)のセキュリティ上の弱点と考えられた。しかし、最新の研究は問題がQuickTime中のJavaコンポーネントにあることを示した。このフローは当に信じきっているMacユーザが悪意あるサイトを訪問することによって脆弱性あるマシンに悪意の侵入を許す。Apple also issued a pair of non-security updates today. A company spokesman said those fixes are designed to mend compatibility problems introduced in its last round of patches in April.
Appleはまた、本日非セキュリティ アップデートもリリースしている。Appleのスポークスマンは、これらの修正は四月における最新の一連のパッチで発見された互換性の問題を修正するようデザインされていると述べている。 QuickTime Update is
HERE:
QuickTime 7.1.6.200 UpdateYesterday, Sun Microsystems updated Java. Download is
HERE.
Java 1.6.0(build 1.6.0_01-b06)Apple QuickTime Player と Java のアップデートはコチラから
QuickTime 7.1.6.200
Java 1.6.0(build 1.6.0_01-b06)
Thursday, 25. January 2007, 13:13:13
QuickTime, Computer, Security
Apple Inc. on Tuesday released a software patch to fix an extremely serious security hole in its QuickTime media player program, one that could be exploited to install malicious software on Microsoft Windows or Mac OS X systems just by convincing a user to click on a specially crafted Web link.
Apple QuickTime(v7.1.3) Update SiteUPDATE (2007/01/28)Secunia "Watch dog" blog said:
But now the patch is out, all is forgiven and everyone is happy, because now they can secure their system. Right?
WRONG!
Turns out, only Apple Mac OS X users can download the security update. Windows users, who download the latest version of Quicktime are (at the time of writing, 2 days after the Security Update was published by Apple) still vulnerable.
If you're a Windows user, you simply can't download a non-vulnerable version. Secuniawas informed about this issue because we received an enormous amount of feedback from users of the Secunia Software Inspector. They complained that they had just downloaded the "latest" version from Apple and that the Software Inspector was wrong in reporting that they were still were vulnerable!
Update Instructions:
Update to version 7.1.3.191 or later.
Currently, it is NOT possible to download a secure installation from the Apple.com download page. Therefore, in order to secure your installation you need to take the following steps:
Step 1)
Run the "Apple Software Update" application, its full path is "C:\program files\Apple Software Update\SoftwareUpdate.exe".
This application is normally installed together with Quicktime, if this is not the case, you will need to re-install Quicktime by downloading it from Apple.com again.
Step 2)
Select and install the available update called "Security Update 2007-001".
If your "Apple Software Update" application is not up-to-date, then you will asked to update this first.
Step 3)
To confirm its update:
3-1, Start>Run and type "regedit"(without quotation). Then click "OK" button.
3-2, Go on HKEY_LOCAL_MACHINE\SOFTWARE\Apple Computer, Inc.\QuickTime\Security Updates\2007-001.
And then confirm, Key:Version, value:7.1.3.191
アップルが脆弱性を指摘されていたQuickTimeをバージョンアップしています。最新バージョンは、QuickTime(v7.1.3)です。こんな無茶苦茶なアップデートは今回初めて。この問題に対するAplleの対応は最初からおかしなものでしたが、脆弱性あるバージョンをWindowsユーザにも提供しているにもかかわらず、脆弱性を修正したWindows版をリリースしないなんて・・・。
脆弱性の修正方法は、Apple Software Updateを起動します。ショートカットがない場合はExplorer起動して、"C:\program files\Apple Software Update\SoftwareUpdate.exe"を起動してください。
そこから、"Security Update 2007-001"をクリックして適用。
QuickTimeのヘルプ>バージョン情報は、7.1.3までしかバージョン番号を表示しないので、レジストリエディタを起動して、HKEY_LOCAL_MACHINE\SOFTWARE\Apple Computer, Inc.\QuickTime\Security Updates\2007-001.
And then confirm, Key:Version, value:7.1.3.191 を確認してください。
Thursday, 14. December 2006, 11:23:26
Computer, Security, QuickTime
この記事はF-Secure Weblogの和訳です。
http://www.f-secure.com/weblog/#00001048
Apple QuickTimeの二つのパッチの当てられていない脆弱性が未だユーザを危うくしているYou all know the story by now – A week ago MySpace was attacked by the Quickspace worm that abused an alleged "feature" of Apple QuickTime movie files to inject and execute malicious javascript in user profile pages. The malicious code attempted to phish accounts and to offer spyware to an unspecified number of users with obvious hopes of financial gain by the perpetrators. The primary cause that made the attack possible is not a MySpace flaw, but rather an Apple QuickTime feature that is clearly a security vulnerability. QuickTime fails to enforce the same origin policy and to warn the user before loading and executing javascript from external resources – two things that all similar applications are expected to do. For example, Flash allows embedded scripts, but it warns the user when a flash application tries to access an external resource.
今までの物語を知っているだろうか? 先週、MySpaceはQuickTimeワームによって攻撃された。このワームはユーザのプロファイルページに悪意あるJavaScriptを注入し実行するためApple QuickTimeの言われている機能を濫用するものだった。悪意あるコードはアカウントをフィッシングすることを、不特定の数のユーザに対しスパイウェアの申し出を企てた。これは明らかに犯罪による金銭の取得を希望していた。 この攻撃を可能にした主たる問題はMySpaceのフローではなく、Apple QuickTimeの機能に明瞭なセキュリティ上の脆弱性が存在したことによる。QuickTimeは外部リストからのJavaScriptの読み込みを行う前に同一根源ポリシーの強制と、ユーザに警告することに失敗した。すなわち、類似の機能を有する全てのアプリケーションが実行することを期待される二つのこと。例えば、Flashはスクリプトの埋め込みを許可するが、Flashアプリケーションが外部リソースにアクセスすることを試みたときユーザに警告する。We have yet to see Apple acknowledge this as a security issue. On the contrary, it has claimed that this is a legitimate feature. A temporary, trivially evadible, fix was provided by Apple to MySpace that was, controversially, distributed only to MySpace users and only to those MySpace users who use IE. All other users of Apple QuickTime, including MySpace users who use a browser other than IE, are still vulnerable. And, since this fix was given only to MySpace users, other websites are still vulnerable to an attack by a worm similar to Quickspace.
我々は未だAppleがこれをセキュリティ問題として認めたことを認識していない。Appleは、これが道理にかなった機能であると主張した。一時的な、役に立たない回避策としての修正がMySpaceユーザのうちのInternet Explorer利用者だけのためにMySpace用としてAppleによって用意された。Apple QuickTimeの他のユーザ(IE以外のWebブラウザを使用しているMySpaceユーザを含む)は未だ脆弱性の存在下にある。そして、MySpaceユーザのためだけにこの修正は提供されたので、他のWebサイトではQuickspace類似のワームによる攻撃に対し未だ脆弱性を持っている。 We did some investigation and found that —
我々は幾許かの調査を行い、以下の結果を見出した。1. Apart from the HREF track flaw exploited by the worm, Apple QuickTime is still vulnerable to another similar flaw that has been publicly known for quite some time. This flaw can be exploited in the same way to achieve the exact same results as the first flaw. The second flaw is obscure and it still remains unfixed. We haven't yet seen anyone bringing attention to it or talk about fixing it. Any patch that fixes the first flaw but not the second one is inadequate.
1/ ワームによって食い物にされたHREFトラックフローは別として、Apple QuickTimeは未だ他の類似のフローによる脆弱性がある。このフローは再三公にされている。このフローは前者のフローと全く同様の方法で全く同様の結果を完成させ食い物にすることができる。後者のフローは不鮮明であり、まだ修正されないまま残っている。我々は未だこの脆弱性について誰かが喚起を促したとか、修正するよう発言したことを見ていない。前者のフローの修正パッチは後者のフローを修正しない。この意味において前者のセキュリティパッチは不十分である。 2. MySpace is still vulnerable to both the flaws and nothing prevents another web application worm from exploiting them.
2/ MySpaceは未だ両方の脆弱性の下にある。そして、それらを食い物にする別のWebアプリケーションワームを防ぐものは何等存在しない。3. We tested a few other social networking sites and all the sites we tested were also vulnerable to web application worms utilizing the two flaws as an attack vector. With no fix available, currently the only feasible workaround for these social networking sites, and also other websites on the Net, is to completely block users from uploading Apple QuickTime content. Though scrubbing javascript from the content before accepting it is a solution, it is complex enough to make it impractical in this case.
3/ 我々は幾つかのソーシャルネットワーキングサービスをテストした。そして、我々がテストしたサイトの全てに、攻撃の方向性として、この二つのフローを利用するWebアプリケーションワームに対する脆弱性が存在した。利用可能な修正版が存在しないので、現在これらソーシャルネットワーキングサービスや他のNET上のサイトの唯一実行可能な解決策はアップロードしてあるApple QuickTimeコンテンツをユーザから完全にブロックすることである。この解決策を受け入れる前にコンテンツからjavascriptを削ぎ落とすことが解決であるが、この場合この方法はコンテンツを非実用的にするため大変複雑である。Recommendation: Websites should block Apple QuickTime content completely until a patch is available from Apple for both vulnerabilities.
【推奨】 : Webサイトは両方の脆弱性を修正するパッチが利用可能になるまで、完全にApple QuickTimeコンテンツをブロックすべきである。Bottom line: These are security vulnerabilities, not "features".
【結言】 : これらはセキュリティ上の脆弱性である。ソフトウェア中にあらかじめ組み込まれている欠陥ある特徴を利用したものでは無い。
【追記】 : この二つの脆弱性はクロスプラットフォームだった。F-SecureはMac OS X上で QuickTime v7.1.3 に脆弱性を確認している。
WIDGETIZE