Vulnérabilité QuickTime 7.5.5 une semaine après sa sortie

La semaine dernière, Apple a mis en ligne une version estampillée 7.5.5 de son lecteur multimédia QuickTime, corrigeant au passage un peu moins d'une dizaine de vulnérabilités de sécurité permettant l'exécution de code arbitraire à distance. D'exécution de code à distance il n'est pour l'instant pas question avec la découverte d'un hacker anonyme qui a publié mardi son code exploit sur milw0rm.com.

Ledit code tire parti d'une vulnérabilité au niveau du paramètre " <? quicktime type= ?> " dans QuickTime qui ne manipule par correctement des chaînes de caractères excessivement longues. En résulte un presque traditionnel débordement de tampon. Le code exploit n'a pour l'instant que pour seule conséquence d'aboutir au plantage de QuickTime, mais les choses pourraient être bien plus sérieuses.

" Cet exploit suggère que l'exécution de code peut être possible. Si c'est confirmé, cela constituera un véritable risque parce que des attaquants pourront exploiter la vulnérabilité en intégrant un ficher malveillant dans un site ", a indiqué Aaron Adams, chercheur en sécurité informatique chez Symantec. Ce dernier conseille d'ores et déjà de désactiver le plug-in QuickTime que l'on retrouve assez fréquemment dans les navigateurs sous Windows, et présent par défaut sous Mac OS X.

ComputerWorld qui rapporte la présence de cette vulnérabilité, souligne que depuis le début de l'année, le lecteur multimédia d'Apple a connu 5 mises à jour de sécurité pour un total de plus de 30 failles corrigées.