Apple corrige une vieille faille dans QuickTime sous Windows

Découverte voici plus d’un an, la faille dans la version Windows du lecteur multimédia est-elle corrigée à temps ?

La dernière mise à jour d’Apple sur QuickTime est une nouvelle démonstration d’une erreur par manque de réactivité d’un éditeur qui peut coûter très cher…

En effet, c’est en septembre 2006 que l’expert en sécurité Petko D. Petkov révélait pour la première fois l’existence de deux failles dans la version Windows de QuickTime (sous XP et Vista).

Très rapidement, Apple a corrigé l’un des failles. Mais la seconde, qui permet d’exécuter un code malicieux à l’ouverture d’un fichier QTL spécialement affecté, est restée ouverte.

Constatant l’absence de réactivité d’Apple, Petko Petkov s’est livré à un exercice périlleux mais hautement démonstratif, concevoir une preuve de concept (proof of concept) qui exploite la faille.

Et c’est là que l’on constate la gravité de l’affaire, car si un expert peut agir ainsi, un développeur mafieux peut faire de même – mais pas sur le modèle de la preuve de concept ! – et exploiter la faille connue de tous depuis si longtemps pour pénétrer les systèmes.

C’est d’ailleurs au vu de la preuve de concept que Mozilla a confirmé que sous Firefox, la faille dans QuickTime permettrait à un hacker mal intentionné d’ouvrir une porte béante (backdoor) sur le poste. L’éditeur a immédiatement modifié son navigateur pour se protéger de la menace.

En revanche, Apple a continué de jouer aux abonnés absents, jusqu’à ce mercredi où l’éditeur a enfin daigné corriger QuickTime.

Apple a également confirmé que la faille ne concerne pas son système d’exploitation Mac OS X, même sous Firefox. Dont acte, mais un an pour corriger une faille, Apple a fait très fort pour laisser ses utilisateurs courir un risque grave, même si officiellement la faille n’a pas été exploitée.