Computer Emergency Response Team - Industrie Services et Tertiaire



			Avis et Alertes publics

			Articles du Cert-IST

			Liens utiles

			Presse - Evénements







		Version imprimante

Accueil | Ressources | Avis et Alertes publics | Dangers potentiels

Référence :	CERT-IST/DG-2008.002
Version :	1.1
Date de la version :	07 Février 2008

Classification de la vulnérabilité

Risque :

Moyen

Conséquence :

Accès au système
Interruption de service (déni de service partiel)

Niveau de confiance :

Faille officielle

Niveau de connaissance de l'attaquant :

Expert

Moyen nécessaire à l'attaquant :

Accès distant (sans compte) sur un service standard

Information sur le(s) système(s) impacté(s)

Plate(s)-forme(s) impactée(s) :

Systèmes Microsoft Windows

Logiciel(s) impacté(s) :

Apple QuickTime versions antérieures à la version 7.3.1.70

Remarques :

Il semblerait que la vulnérabilité de QuickTime ne puisse être exploitée que sur les plates-formes Windows. Les plates-formes Mac OS-X ne seraient donc pas vulnérables.
QuickTime est aussi inclus dans la solution "iTunes" d'Apple.

Liste des produits impactés

Description

Contexte de publication :

Version 1.1 : Le 04/02/2008, Apple a publié la version 7.4.1 de QuickTime qui corrige cette vulnérabilité.
La publication de cette version clôt au niveau du Cert-IST la situation d'alerte engendrée par cette vulnérabilité. Veuillez désormais vous reporter à l'avis CERT-IST/AV-2008.047 pour une description actualisée de la vulnérabilité.
Dans le présent "Danger Potentiel" seule la section "Solution" a été mise à jour. Les autres éléments ont été laissés inchangés pour retracer l'historique de ce message d'alerte.

Le Cert-IST émet ce "DanGer potentiel" suite à la publication d'un nouveau "0 day" permettant d'exploiter un débordement de mémoire dans la toute dernière version de QuickTime (version 7.3.1). Pour rappel, cette version corrigeait la vulnérabilité RTSP décrite dans le CERT-IST/DG-2007.009 et l'avis CERT-IST/AV-2007.536.

Nature du problème :

Un programme de type "0-day" vient d'être publié permettant d'exploiter une nouvelle faille (sans correctif/solution) dans la toute dernière version de QuickTime.

Ce programme permet simplement de provoquer un arrêt brutal de QuickTime. Cependant, les programmes d'exploitation qui existent depuis la fin novembre 2007 pour une vulnérabilité similaire de QuickTime (pour laquelle nous avons émis le 30/11/2007 le "Danger Potentiel" CERT-IST/DG-2007.009) pourraient être rapidement convertis pour exploiter cette nouvelle vulnérabilité.

Pour rappel, ces programmes d'exploitation permettent à une personne malveillante d'effectuer à distance des actions nuisibles sur le poste d'un internaute qui clique sur un lien "RTSP" malicieux. Les actions malveillantes sont effectuées avec les privilèges de l'utilisateur du poste hébergeant une version vulnérable de QuickTime.

Le Cert-IST émettra une alerte dès que nous aurons confirmation que des attaques de grande ampleur se produisent.

Contexte technique :

Le protocole applicatif RTSP ("Real Time Streaming Protocol") permet de contrôler la distribution de flux multimédias ("streaming") sur un réseau IP.

Analyse détaillée :

La vulnérabilité est un débordement de mémoire (de type "stack overflow") qui se produit lorsque QuickTime affiche un message trop long dans l'écran d'information concernant le status de la connexion.

Le scénario d'attaque actuellement connu est le suivant :

La victime ciblée clique sur un lien "rtsp://" malicieux qui pointe vers une machine qui est sous contrôle du pirate.
Aucun serveur RTSP (port 554) n'est en écoute sur cette machine et QuickTime décide alors automatiquement de contacter le port HTTP (port 80) sur la même machine.
Le message envoyé par le serveur HTTP provoque le débordement de pile.

Nota : Le code malicieux infectant la machine de la victime s'exécute avec les privilèges de la victime. Dans le cas où l'utilisateur a les privilèges "administrateur", le code malicieux peut donc prendre le contrôle total de la machine infectée.

Solution

01 - Mettre à jour QuickTime avec la version 7.4.1

Correctifs/Mises à jour d'Apple
- http://www.apple.com/support/downloads/

02 - Solutions temporaires concernant la vulnérabilité du lecteur QuickTime

Solutions temporaires au niveau du poste de travail :

Plusieurs mesures sont possibles :

[1] Désinstaller QuickTime.

[2] Configurer QuickTime pour ne pas gérer les fichiers relatifs aux flux RTSP :
- Dans QuickTime, sélectionner "Edition" - "Préférences" - "Préférences QuickTime" - "Type de fichiers" - "Enchaînement - Séquences en temps réel" et décocher "Descripteur de flux RTSP"

[3] Désactiver les plugins QuickTime des navigateurs web :
- Sous Internet Explorer, désactiver les contrôles ActiveX relatifs à QuickTime :
  - Les identifiants de ces contrôles ActiveX (CLSID) sont :
    {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
    {4063BE15-3B08-470D-A0D5-B37161CFFD69}
- Sous Firefox, désactiver le plugin QuickTime (Cf. la procédure dans l'URL ci-dessous).

[4] Désactiver l'association des fichiers QuickTime sous Windows :
- Supprimer les clés de Registre suivantes : HKEY_CLASSES_ROOTQuickTime.*

Document pour désinstaller les plugins sur Firefox
- http://plugindoc.mozdev.org/faqs/uninstall.html

Identifiant(s) du problème

CERT/CC: VU#112179

Documentation additionnelle

Avis de sécurité de SecurityFocus 486091 du 10 janvier 2008
- http://www.securityfocus.com/archive/1/486091

Historique

Version

Commentaire

Date

1.0

Création du danger potentiel

11 Janvier 2008

1.1

Publication de la version QuickTime 7.4.1 corrigeant la vulnérabilité

07 Février 2008



Copyright © 1999-2012 Cert-IST \| Mentions légales \| Plan du site