Lundi, Apple a mis en ligne sur son site une nouvelle version de QuickTime pour Mac OS X et Windows XP SP2 ainsi que Vista. Une mouture estampillée 7.3 principalement placée sous le signe de la sécurité puisque destinée à combler pas moins de sept vulnérabilités. Via l’exploitation de l’une d’entre elles, du code arbitraire peut être exécuté par un attaquant distant. En cause, un dépassement de mémoire tampon lors du traitement de fichiers vidéo ou image spécialement conçus, voire d’un applet Java malicieux hébergés sur des sites piégés consultés par l’utilisateur pris pour cible.

Ces sept vulnérabilités détaillées dans le bulletin émis par Apple, font suite à huit autres corrigées en juillet lors de la sortie de QuickTime 7.2. Un nombre de failles relativement important qui ne risque pas de redorer l’image de QuickTime en entreprise et dans un environnement Windows en particulier. Cette mauvaise réputation sera d’autant plus difficile à faire oublier que peu de temps avant la publication de QuickTime 7.3, Bit9, éditeur connu pour sa solution de détection de virus et malwares Parity, avait pour la énième fois épinglé l’application d’ Apple en la plaçant en tête de liste 2007 des applications WIndows les plus vulnérables fréquemment téléchargées par les employés qui présentent de sérieux risques pour l’environnement IT de l’entreprise (applications difficiles à localiser ou à patcher).

Toujours en début de semaine et quelques heures après Apple, c’était au tour de Microsoft d’émettre un avis de sécurité au sujet d’une faille affectant le pilote secdrv.sys de Macrovision. Ce pilote vulnérable en corrélation avec la solution SafeDisc de lutte contre le piratage des CD et DVD du spécialiste des technologies DRM, est présent par défaut dans Windows XP et 2003 (la version incluse dans Vista n’est pas vulnérable), d’où les inquiétudes du leader mondial du logiciel, d’autant que les premiers rapports d’exploitation sont tombés.

Par l’exploitation de cette faille, un utilisateur enregistré pour procéder à l’élévation de ses privilèges. Pour procéder, il lui suffit de solliciter le pilote en lui passant des paramètres manipulés pour écrire du code arbitraire en mémoire et l’exécuter avec les droits système. Comme cet exploit est uniquement local, les risques sont minimes pour les particuliers qui travaillent le plus souvent avec un seul compte sur leurs ordinateurs. Une situation plus problématique pour les réseaux d’entreprise où de multiples utilisateurs avec des privilèges différents peuvent se loger sur différentes machines.

Macrovision propose déjà un patch pour son pilote afin de corriger le problème. Ce patch sera distribué par Microsoft par l’intermédiaire de Windows Update dans le cadre d’un prochain Patch Tuesday, vraisemblablement celui du mardi 13 novembre. Microsoft regrette toutefois que cette vulnérabilité ait été divulguée publiquement, sans faire l’objet d’une communication privée au préalable.