Vulnerabilidad en QuickTime al procesar archivos .MP4

l problema se produce por un error al definir los límites asignados a la entrada de determinados datos, cuando la aplicación intenta procesar un archivo .MP4 malformado.

MP4 es un formato de contenedor multimedia definido dentro del estándar MPEG-4, que permite almacenar diferentes tipos de datos comprimidos mediante códecs estándares de audio y video, así como otra información (por ejemplo, subtítulos). QuickTime es compatible con el estándar MPEG-4 desde la versión 7.1.

El fallo ocasiona un desbordamiento de la memoria HEAP (la porción de memoria disponible para un programa, también llamada área de memoria dinámica).

Concretamente, la vulnerabilidad se produce en la función FlipFileTypeAtom_BtoN(), cuando la misma interpreta datos erróneos, provocando un "segmentation fault". Este error ocurre cuando un proceso ha sido abortado por acceder a una dirección de memoria ilegal, generalmente por el uso incorrecto de algún puntero.

Esto puede permitir a un atacante remoto causar una denegación de servicio en la aplicación (QuickTime deja de responder y se congela). También podría llegar a ejecutar código en el contexto del usuario actual.

Un ataque exitoso requiere que la víctima sea convencida para que descargue un archivo .MP4 malicioso.

Este error fue reportado en noviembre de 2006, Cómo el fabricante aún no lo ha solucionado, su descubridor lo ha hecho público.