Exploitation massive de la faille QuickTime RTSP

Le par  |  4 commentaire(s)
QuickTime logo

De la preuve de concept à l'exploit, il n'y a souvent qu'un pas désormais franchi et les environnements Windows et Mac OS X d'être sous la menace d'une attaque via une vulnérabilité QuickTime.

Quicktime logoLa semaine dernière, plusieurs sociétés de sécurité émettaient un bulletin d'alerte au sujet d'une vulnérabilité extrêmement critique affectant le lecteur multimédia d'Apple, QuickTime 7.x. L'éditeur américain Symantec donnait alors un sérieux crédit à cette alerte suite à l'analyse d'une preuve de concept fonctionnelle sous Windows XP. En cause, une erreur de débordement de tampon lors du traitement d'une réponse RTSP (Real Time Streaming Protocol) contenant une entête excessivement longue. Aujourd'hui, la menace est montée d'un cran, Symantec ayant capturé dans ses filets le premier exploit actif relatif à cette faille.

Pour le moment, les attaques ciblent les utilisateurs de Windows mais la vigilance des utilisateurs de Mac OS X est également requise. Les chercheurs en sécurité sont en effet finalement parvenus à la conclusion que ladite vulnérabilité présente un danger pour toute une gamme de systèmes d'exploitation dont Windows XP, Windows Vista, Mac OS X 10.4 ainsi que le récent Mac OS X 10.5 plus communément appelé le Leopard. Elle peut être exploitée via les navigateurs Internet Explorer, Firefox, Opera et Safari.


Une faille déjà exploitée
Symantec a trouvé trace du premier code exploit dans un site Web pornographique compromis. Plus exactement, c'est un iframe malicieux qui pousse le navigateur à émettre une nouvelle requête vers une URL. Sans le savoir, l'utilisateur visitant cette page est ainsi redirigé vers un site piégé, hôte de l'exploit (un objet QuickTime inséré initiant une connexion RTSP). Actuellement, le malware téléchargé par l'exploit est identifié par Symantec comme le cheval de Troie Downloader. Sous environnement Windows, sa mission est de permettre le rapatriement d'autres malwares.

Site pornographique, troyen bien connu et identifié de longue date, la menace ne semble finalement pas si terrible. Néanmoins, Symantec précise bien qu'il ne s'agit là que d'un scénario d'attaque avéré et subodore l'existence de bien d'autres.

En attendant la publication d'un correctif, la protection la plus avancée contre une attaque tirant parti de la vulnérabilité QuickTime RTSP, consiste à désactiver la prise en charge du protocole RSTP par le lecteur d'Apple et à bloquer le port TCP 554 et les ports UDP 6970 à 6999.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #192511
Elle est où l'exploitation massive ? :?
Le #192512
Selon Symantec, maintenant qu'ils ont eu la preuve que cette faille est exploitable, et exploitée, ils pensent qu'elle l'est bcp plus que ce qu'ils ont trouvé pour le moment...
Le #192519
Ah ouais, d'accord...

C'est tout un art, les titres. Je ne m'y ferai jamais, décidément
Le #192534
28 novembre :
http://blog.trendmicro.com/quicktime-player-gets-exploited-via-rtsp/

5 décembre :
http://blog.trendmicro.com/quick-fix-for-quicktime-rtsp-flaw-needed/

http://{BLOCKED}-search.com/000/dnlsvc.exe c'est ultra giga connu...
y avait déjà plein de sites pornos fake ou sponsorisés qui ont des iframes cachées qui pointent vers ces sites via des exploits.

donc oui elle est assez exploitée...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]