La loi des séries est en cours pour le lecteur multimédia d’Apple qui a déjà été mis à jour en début de mois afin de corriger pas moins de sept problèmes de sécurité. Dans ce même registre de la sécurité, la récente version 7.3 de QuickTime commence en effet déjà à faire parler d’elle.

La menace semble des plus sérieuses si l’on en juge par le bulletin d’alerte émis par la société danoise Secunia faisant état d’une vulnérabilité exploitable à distance qualifiée d’extrêmement critique, soit le niveau maximal de dangerosité atteint. Ladite vulnérabilité est due à une erreur de débordement de tampon lors du traitement d’une réponse RTSP (Real Time Streaming Protocol) – protocole de streaming temps réel – contenant une entête Content-Type de longueur excessive. Le risque encouru en pareil cas est l’exécution de code arbitraire.

De son côté, Symantec a mis la main et étudié une POC fonctionnelle sous Windows XP SP2, élaborée par un chercheur en sécurité polonais du nom de Krystian Kloskowski, à qui est attribuée la découverte de la faille. A l’issue, l’éditeur américain a mis en exergue deux scénarios possibles pour son exploitation, une attaque via courrier électronique ou basée sur l’utilisation du navigateur Web.

Dans le cas du scénario par attaque mail, l’utilisateur reçoit un courriel malicieux avec une pièce jointe contenant un fichier pris en charge par défaut par QuickTime Player, à l’instar des fichiers à l’extension .mov, .qt, .qtl ou encore .3gp, voire d’autres plus communs mais potentiellement associés à l’application d’Apple. En guise de fichier audio ou vidéo, il s’agit en fait d’un fichier XML qui après double clic, forcera le lecteur à ouvrir une connexion RTSP sur le port TCP 554 vers un serveur hébergeant le code exploit. Lorsque QuickTime Player entre en contact avec ce serveur distant, il reçoit en retour la réponse RTSP mal formée évoquée précédemment, afin de provoquer le dépassement de mémoire tampon et l’exécution immédiate du code d’attaque.

Dans le cas du scénario d’attaque via navigateur Web, la mécanique est sensiblement la même mais c’est une URL qui est transmise à l’utilisateur pris pour cible. Après clic sur cette URL, le navigateur charge une page avec un objet QuickTime inséré qui va initier la connexion RTSP avec le serveur malicieux, toujours sur le port TCP 554 pour envoi de la réponse spécialement conçue. Pour l’heure, une telle attaque est annihilée avec Internet Explorer 6/7 et Safari 3 bêta. Ces navigateurs chargent en effet QuickTime Player comme un plugin et lorsque le dépassement de mémoire tampon intervient, une protection standard entre en action pour fermer les processus affectés avant qu’un dommage ne soit causé. Les utilisateurs de Firefox sont par contre plus en danger, compte tenu du fait que ce fureteur sous-traite la requête à QuickTime Player, en tant que processus en dehors de son contrôle.

Suite à la POC de Kloskowski, une autre fonctionnelle sous Windows Vista dont l’auteur est un certain InTeL, a bien vite fait son apparition. Selon ce dénommé InTeL, une exploitation de la faille dans un environnement Vista ne pose aucun problème malgré la protection ASLR de randomisation de l’espace d’adressage du système. Cette protection utilisée pour lutter contre les attaques de type buffer overflow en rendant la configuration des processus aléatoire pour que les pirates perdent leurs billes, serait rendue caduque par le fait que QuickTime Player et les modules .gtx ne permettent pas la randomisation.

En attendant la publication d’un correctif, la prudence est donc de rigueur et consiste à ne pas ouvrir de fichiers QuickTime ou suivre des liens provenant de sources non sûres, voire bloquer le port TCP 554.