Vulnérabilité critique non corrigée dans QuickTime (02/01/07)

MAJ 24/01/07 : un correctif est disponible pour Mac OSX
MAJ 29/01/07 : procédure pour télécharger un correctif pour Windows

RESUME :
Un nouveau défaut de sécurité a été découvert dans le lecteur multimédia QuickTime d'Apple. L'exploitation d'une erreur dans la gestion des adresses URL de type RTSP (rtsp://...) permet à un individu malveillant d'exécuter du code malicieux sur l'ordinateur de sa victime à l'ouverture d'un fichier piégé au format QTL.

LOGICIELS CONCERNES :
Apple QuickTime version 7.1.3 et inférieures pour Windows
Apple QuickTime version 7.1.3 et inférieures pour Mac OS X

CONTOURNEMENT PROVISOIRE :
L'application du correctif est recommandée. Les utilisateurs concernés ne pouvant pas l'installer peuvent toutefois appliquer les mesures suivantes afin de réduire les risques d'exploitation malveillante de ce défaut de sécurité :

• se montrer particulièrement vigilant dans son utilisation d'Internet, notamment vis-à-vis des fichiers douteux, des liens hypertextes non sollicités ou des sites web non reconnus comme sûrs ;
• désactiver la prise en charge des adresses RTSP sous Windows en procédant comme suit : ouvrir QuickTime > menu Modifier > Préférences > Préférences QuickTime... > onglet Types de fichiers > développer le choix Enchaînement - Séquences en temps réel > décocher la case Descripteur de flux RTSP > bouton OK ;
  
• tenir à jour son antivirus. Les éditeurs publient généralement de nouvelles signatures pour tenter de reconnaître et d'intercepter les fichiers malicieux exploitant les défauts de sécurité non corrigés (par exemple Bloodhound.Exploit.109 chez Symantec).

CORRECTIF :
Les utilisateurs concernés doivent installer immédiatement le correctif correspondant à leur logiciel, afin de prévenir toute exploitation malveillante de ce défaut de sécurité :

• QuickTime pour Windows : le correctif est uniquement disponible via le logiciel Apple Software Update, installé en même temps que Quicktime (Menu Démarrer > Tous les programmes > Apple Software Update). Cocher "Security Update 2007-001", puis cliquer sur le bouton "Installer 1 élément" (il peut être nécessaire de télécharger la nouvelle version du logiciel Apple Software Update avant de pouvoir télécharger le correctif) :
                      
  
• QuickTime pour Mac OS X : le correctif est disponible sur le site de l'éditeur.

NB : au moment de la rédaction de cette note, Apple distribue toujours la version 7.1.3 de QuickTime sur son site officiel. Toute installation du logiciel doit être suivie d'une mise à jour selon la procédure ci-dessus, même si la fonction de mise à jour automatique de QuickTime affirme qu'il s'agit de la dernière version disponible.

INFORMATIONS COMPLEMENTAIRES :
-> Bulletin de sécurité Apple Security Update 2007-001 (en anglais)
-> FAQ : comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ : comment déterminer le numéro de version de votre logiciel?
-> Abonnement gratuit à la lettre Secuser Securite pour être informé par courriel des nouvelles failles