📚 Apple QuickTime bis 7.7.8 Pufferüberlauf [CVE-2015-7086]
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80120
Betroffen: Apple QuickTime bis 7.7.8
Veröffentlicht: 09.01.2016
Risiko: kritisch
Erstellt: 10.01.2016
Aktualisiert: 11.01.2016
Eintrag: 66.8% komplett
Beschreibung
Eine kritische Schwachstelle wurde in Apple QuickTime bis 7.7.8 entdeckt. Davon betroffen ist eine unbekannte Funktion. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Apple QuickTime before 7.7.9 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption and application crash) via a crafted movie file, a different vulnerability than CVE-2015-7085, CVE-2015-7087, CVE-2015-7088, CVE-2015-7089, CVE-2015-7090, CVE-2015-7091, CVE-2015-7092, and CVE-2015-7117.
Die Schwachstelle wurde am 09.01.2016 veröffentlicht. Die Identifikation der Schwachstelle findet als CVE-2015-7086 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 7.7.9 vermag dieses Problem zu beheben.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:apple:quicktime:7.7.0
- cpe:/a:apple:quicktime:7.7.1
- cpe:/a:apple:quicktime:7.7.2
- cpe:/a:apple:quicktime:7.7.3
- cpe:/a:apple:quicktime:7.7.4
- cpe:/a:apple:quicktime:7.7.5
- cpe:/a:apple:quicktime:7.7.6
- cpe:/a:apple:quicktime:7.7.7
- cpe:/a:apple:quicktime:7.7.8
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $10k-$25k (0-day) / $5k-$10k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: QuickTime 7.7.9
Timeline
09.01.2016 | Advisory veröffentlicht
10.01.2016 | VulDB Eintrag erstellt
11.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-7086 (mitre.org) (nvd.nist.org) (cvedetails.com)
...