Vulnérabilité
critique non corrigée dans QuickTime (02/01/07)
MAJ 24/01/07 : un correctif est disponible pour
Mac OSX
MAJ 29/01/07 : procédure pour télécharger un
correctif pour Windows
RESUME :
Un nouveau défaut de sécurité a été découvert
dans le lecteur multimédia QuickTime d'Apple.
L'exploitation d'une erreur dans la gestion des adresses URL de
type RTSP (rtsp://...) permet à un individu malveillant
d'exécuter du code malicieux sur l'ordinateur de sa victime
à l'ouverture d'un fichier piégé au format
QTL.
LOGICIELS CONCERNES :
Apple QuickTime version 7.1.3 et inférieures pour Windows
Apple QuickTime version 7.1.3 et inférieures pour Mac OS
X
CONTOURNEMENT PROVISOIRE :
L'application
du correctif est recommandée. Les
utilisateurs concernés ne pouvant pas l'installer peuvent
toutefois appliquer les mesures suivantes afin de réduire
les risques d'exploitation malveillante de ce défaut de sécurité
:
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens hypertextes
non sollicités ou des sites web non reconnus comme sûrs
;
- désactiver la prise en charge des adresses RTSP sous
Windows en procédant comme suit : ouvrir QuickTime >
menu Modifier > Préférences > Préférences
QuickTime... > onglet Types de fichiers > développer
le choix Enchaînement - Séquences en temps réel
> décocher la case Descripteur de flux RTSP > bouton
OK ;
- tenir à
jour son antivirus. Les éditeurs publient généralement
de nouvelles signatures pour tenter de reconnaître et d'intercepter
les fichiers malicieux exploitant les défauts de sécurité
non corrigés (par exemple Bloodhound.Exploit.109 chez Symantec).
CORRECTIF :
Les utilisateurs
concernés doivent installer immédiatement le correctif
correspondant à leur logiciel, afin de prévenir toute
exploitation malveillante de ce défaut de sécurité
:
- QuickTime pour Windows : le correctif est uniquement
disponible via le logiciel Apple Software Update, installé
en même temps que Quicktime (Menu Démarrer > Tous
les programmes > Apple Software Update). Cocher "Security
Update 2007-001", puis cliquer sur le bouton "Installer
1 élément" (il peut être nécessaire
de télécharger la nouvelle version du logiciel Apple
Software Update avant de pouvoir télécharger le
correctif) :
- QuickTime pour Mac OS X : le correctif est disponible
sur le site
de l'éditeur.
NB : au moment
de la rédaction de cette note, Apple distribue toujours la
version 7.1.3 de QuickTime sur son site officiel. Toute installation
du logiciel doit être suivie d'une mise à jour selon
la procédure ci-dessus, même si la fonction de mise
à jour automatique de QuickTime affirme qu'il s'agit de la
dernière version disponible.
INFORMATIONS COMPLEMENTAIRES :
->
Bulletin de sécurité Apple Security Update 2007-001
(en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|