Il y a près d’un an, Petko D. Petkov, analyste en sécurité informatique pour une société spécialisée dans les tests d’intrusion, alertait qui de droit, à savoir Apple, au sujet de deux vulnérabilités affectant le framework multimédia QuickTime. Si l’une des deux failles a depuis été corrigée, pour la deuxième par contre, aucune mesure n’a été prise, la firme à la pomme ayant notamment estimé comme faible le risque potentiel d’attaques exploitant cette dernière.

Sans doute un peu piqué au vif, la  » menace Petkov  » est montée d’un cran mercredi, suite à la publication d’une preuve de concept démontrant comment un problème de risque faible peut être très facilement utilisé dans le cadre d’une attaque de risque élevé avec en l’occurrence, le concours du populaire fureteur de la Fondation Mozilla, Firefox, dans un environnement Windows.

La vulnérabilité en question est due à une erreur dans la façon dont QuickTime gère certains fichiers QTL ( QuickTime media Link ) spécialement crées. Ces fichiers QTL sont écrits en XML et contiennent typiquement un lien pointant vers un fichier audio ou vidéo pris en charge par QuickTime (panel assez large), accompagné de quelques métadonnées. Un attribut qtnext indique ainsi ce qui devra faire l’objet d’une lecture ultérieure ( une URL ) et c’est à ce niveau que l’interprétation peut poser problème avec l’insertion d’un code JavaScript malicieux. Petkov en fait la démonstration via l’exécution d’un code JavaScript inattendu par le moteur chrome de Firefox (dédié à l’interface utilisateur). Cela peut se produire lors d’une navigation sur la Toile ou en ouvrant directement un fichier multimédia malicieux avec QuickTime, dans un environnement où Firefox est le navigateur par défaut.

Le navigateur de Mozilla n’est donc sans doute pas le premier à blâmer mais pour le coup, la POC apparemment facilement transformable en exploit, l’implique. Il n’est toutefois pas dit que par d’autres mécanismes, d’autres navigateurs ne se laissent  » piéger  » avec le risque de compromission du système hôte. Néanmoins, pour le cas d’ Internet Explorer, le risque semble moindre eu égard à la politique restrictive mise à oeuvre par défaut quant à l’exécution de scripts en zone locale.

Window Snyder qui préside à la destinée de Firefox en matière de sécurité, a évidemment bien vite eu vent de cette malencontreuse découverte menaçant la réputation de son navigateur, et d’indiquer sur son blog, travailler d’ores et déjà de concert avec Apple afin de résoudre au plus vite ce problème. Petkov, lui, a visiblement atteint son but, sa faille a enfin été prise au sérieux.

A noter que l’installation de l’extension NoScript pour Firefox permet de se prémunir contre l’exploitation de la faille pour les utilisateurs adeptes du fureteur au panda rouge. Cette extension qui permet un blocage préventif de JavaScript basé sur une liste blanche, dispose en effet d’une protection spécifique, implémentée pour le moteur chrome.