Vulnérabilité
critique non corrigée dans QuickTime (25/11/07)
MAJ 14/12/07 : un correctif
officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été identifié
dans le lecteur multimédia QuickTime.
L'exploitation d'une erreur dans l'implémentation du protocole
RTSP (Real Time Streaming Protocol) permet à un individu
malveillant ou à un virus d'exécuter du code malicieux
sur l'ordinateur de sa victime à l'ouverture d'un fichier
ou d'une page web piégé.
LOGICIELS CONCERNES :
Apple QuickTime version 7.3 et inférieures
CORRECTIF :
Aucun correctif
n'est disponible pour le moment et le risque d'exploitation malveillante
est important car le détail du code permettant d'exploiter
cette faille été rendu public. Les utilisateurs concernés
peuvent appliquer les mesures suivantes afin de réduire les
risques d'exploitation malveillante :
- se montrer
particulièrement vigilant dans son utilisation d'Internet,
notamment vis-à-vis des fichiers douteux, des liens non
sollicités (notamment de la forme rtsp://) ou des sites
web non reconnus comme sûrs ;
- désactiver la prise en charge des adresses RTSP en procédant
comme suit : ouvrir QuickTime > menu Edition > Préférences
> Préférences QuickTime... > onglet Types
de fichiers > développer le choix Enchaînement
- Séquences en temps réel > décocher la
case Descripteur de flux RTSP > bouton OK ;
- tenir à
jour son antivirus. Les éditeurs publient généralement
de nouvelles signatures pour tenter de reconnaître et d'intercepter
les fichiers malicieux exploitant les défauts de sécurité
non corrigés.
Les utilisateurs concernés peuvent également s'abonner
gratuitement à la
lettre Secuser Securite pour être informés par
courrier électronique de la disponibilité du correctif
officiel dès sa publication.
INFORMATIONS COMPLEMENTAIRES :
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|