Cette nouvelle mise à jour d'un produit logiciel Apple n'intéresse que les utilisateurs Windows. QuickTime 7.6.8 a pour but de combler deux vulnérabilités uniquement présentes pour la version du lecteur média à destination du système d'exploitation de Microsoft.
La première faille corrigée avait fait parler d'elle dans nos colonnes. Elle est due à la présence de code obsolète laissé dans QuickTime. Apple explique qu'un paramètre optionnel ( _Marshaled_pUnk ) peut être passé à un contrôle ActiveX ( QTPlugin.ocx ) afin de spécifier un entier arbitraire utilisé ultérieurement en tant que pointeur. La consultation d'un site Web malveillant peut ainsi conduire à une exécution de code arbitraire.
Pour corriger ce problème, QuickTime ignore désormais tout simplement ledit paramètre, un vestige du passé dans le code du logiciel qui ne servait donc à rien. Un chercheur en sécurité informatique, Ruben Santamarta, avait indiqué qu'un code d'attaque était à même de passer outre les mesures de protection DEP et ASLR dans Windows Vista et 7.
La deuxième vulnérabilité corrigée est aussi relativement connue dans la mesure où il s'agit de la faille dite DLL affectant plusieurs applications Windows et qui a donné lieu à diverses mises à jour ( Firefox, VLC media player... ). Apple indique que le problème se situait au niveau de QuickTime Picture Viewer. Si un attaquant plaçait un fichier DLL malveillant dans le même répertoire qu'une image, l'ouverture de cette image avec QuickTime Picture Viewer pouvait conduire à une exécution de code arbitraire. Le problème a été résolu en supprimant le répertoire de travail courant du chemin de recherche DLL.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.