Alerte : utiliser Quick Time peut nuire à votre sécurité

La chasse aux bugs dans les produits Apple est ouverte…

Une vulnérabilité récemment découverte dans le lecteur vidéo d’Apple Quick Time pourrait selon des experts en sécurité mettre en péril les utilisateurs des ordinateurs Mac et Windows.

La publication de ce problème touchant le lecteur de la pomme a été faite dans le cadre de l’initiative « Month of the Apple Bugs »dont la mission est de découvrir un bug par jour dans les logiciels de la firme.

Ce bug concerne la façon dont Quick Time utilise le RTSP (Real Time Streaming Protocol), le protocole de diffusion en temps réel de la vidéo ou du son. Un attaquant pourrait créer une chaîne de caractères (String) RTSP spéciale dans un fichier Quick Time pouvant entraîner un Buffer Overflow ou dépassement de la mémoire tampon en français.

LMH, surnom désignant l’un des ingénieurs à l’origine de l’initiative Month of the Apple Bugs, a déclaré : « le risque est de se retrouver avec un système compromis par un attaquant distant capable de faire ce qu’il veut sur la machine. Cette intrusion peut-être amorcée à partir de JavaScript, de Flash, de liens classiques, de fichiers QTL (Quick Time Media Link) et de toutes les extensions permettant d’ouvrir Quick Time. »

La version concernée par cette vulnérabilité est Quick Time 7.1.3. La dernière mouture en date de l’application dévoilée début septembre 2006 pour Apple Mac OS X et Microsoft Windows. D’après LMH, les précédentes versions sont elles aussi vulnérables.

Pour Secunia et le FrSirt (French Security Incidence Response Team) cette faille est « hautement critique. »

Du côté d’Apple l’on joue la carte de la politesse… Ainsi, un porte-parole de la firme de Cupertino a indiqué : « Apple accueille à bras ouverts toutes les informations susceptibles d’améliorer la sécurité de nos produits ». Ce dernier n’a pas précisé de date de disponibilité d’un correctif.

Les internautes peuvent se protéger contre cette menace en désactivant le support du RTSP. Le centre Sans Internet Storm a publié des instructions à ce sujet aussi bien pour les postes Mac que Windows.

Notons que Quick Time n’a pas l’apanage des bugs. Ainsi LMH a également découvert une faille dans le fameux lecteur open source VLC, mais c’est une autre histoire.