S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 11 janvier 2008
N° CERTA-2008-ALE-001-002
Affaire suivie par: CERT-FR
le 11 janvier 2008

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans Apple QuickTime

Gestion du document

Référence CERTA-2008-ALE-001-002
Titre Vulnérabilité dans Apple QuickTime
Date de la première version 11 janvier 2008
Date de la dernière version 07 février 2008
Source(s) -
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Apple QuickTime version 7.3.1.70.

Résumé

Une vulnérabilité affectant Apple QuickTime permet à un individu malveillant d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité dans le logiciel multimédia Apple QuickTime permet à une personne malintentionnée l'exécution de code arbitraire à distance via un dépassement de mémoire tampon lors d'une tentative infructueuse de lecture d'un fichier via le protocole Real Time Streaming Protocol (RTSP).

Une fonctionnalité de QuickTime permet de basculer automatiquement du protocole RTSP au protocole HTTP lorsque le port par défaut RTSP n'est pas joignable (554/tcp et 554/udp). Une page d'erreur spécialement conçue pour le protocole HTTP permet l'exploitation de cette vulnérabilité. Des codes d'exploitation ont été diffusés sur l'Internet.

Cette vulnérabilité concerne les machines ayant une version QuickTime à jour, et indépendemment du système d'exploitation installé.

Contournement provisoire

Parmis les contournements provisoires, on note :

  • Vérifier que la prise en charge des liens RTSP est désactivée dans QuickTime en décochant la case Édition -> Préférences -> Préférences de QuickTime -> Types de fichiers -> Enchaînement - séquence en temps réel -> Descripteur de flux RTSP ;

Cette option, qui n'est pas activée par défaut, ne comble en rien la vulnérabilité mais permet de d'éviter l'ouverture de lien malveillant par QuickTime.

  • vérifier la politique de filtrage des flux sortants. QuickTime essaie de se connecter au serveur sur différents ports (rtsp : 554 puis HTTP : 80), mais la politique de filtrage peut influencer ce passage. Ainsi, si les flux sortants vers les ports 554/TCP et 554/UDP sont filtrés et engendrent une absence de réponse dans un intervalle de temps suffisant, QuickTime n'effectue plus la tentative de connexion en HTTP.
  • utiliser un lecteur alternatif.

Solution

Mise à jour du 07 février 2008 :

Apple a corrigé cette vulnérabilité dans la version 7.4.1 de QuickTime, mentionnée dans l'avis CERTA-2008-AVI-059.

Documentation

Gestion détaillée du document

    le 11 janvier 2008
    version initiale.
    le 14 janvier 2008
    précisions concernant le filtrage.
    le 07 février 2008
    correction apportée par Apple dans la version 7.4.1 de QuickTime.