11 failles de sécurité corrigées dans Quicktime

La version 7.4.5 de Quicktime corrige onze vulnérabilités, toutes touchant Windows (XP ou Vista). Mac OS X (Panther, Tiger et Leopard) n’est affecté que par huit d’entre elles.

Neuf de ces vulnérabilités sont considérées comme critiques. L’initiative Zero Day de TippingPoint a permis de découvrir une majorité de ces failles. Lors de la lecture de vidéos, images PICT ou animations Quicktime VR adaptées, le logiciel s’arrêtera de fonctionner. Un dépassement de tampon a pu être observer dans chacun des cas. C’est une voie permettant l’exécution de code arbitraire par la machine hôte.

Aucun « exploit » ne permet actuellement de profiter de ces failles. La mise à jour est cependant vivement recommandée pour tous les utilisateurs de Quicktime (et incidemment d’iTunes).

Une autre vulnérabilité touche le module Quicktime pour Java. Sous certaines conditions, lesappletsJava peuvent bénéficier d’une élévation de privilèges. Le transfert d’informations ou l’exécution de code arbitraire sont alors possibles. Ceci ne touche que les applets Java non certifiées, qui « désérialisent » les objets QTJava. Cette possibilité a été désactivée pour les applets non certifiées, résolvant ainsi le problème.

La dernière faille, moins critique, permet à certaines vidéos Quicktime d’ouvrir automatiquement des pages web externes, ce qui peut mener à un transfert non souhaité d’informations vers un site distant.