Les messages multimédias (MMS) et la sécurité des "Pocket PC"
Date : 25 Octobre 2006
Cet article se propose de détailler quatre vulnérabilités découvertes dans la gestion des MMS par le logiciel "MMS Composer" sur les systèmes "Windows CE" (système d'exploitation utilisé par les "Pocket PC").
Gestion des MMS :
Les MMS ("Multimedia Message Service") sont des messages permettant d'échanger du texte mais également des images, du son ou des clips audio entre des équipements mobiles (téléphones portables, "smartphones", PDA communicants, ..).
Un MMS est composé :
- d’un fichier SMIL ("Synchronized Multimedia Integration Language"), décrivant les pièces jointes au MMS,
- et
de différentes pièces jointes (textes, images, sons, vidéos, …).
- le transfert des données de l'émetteur vers un relais,
- la notification du relais au destinataire lui indiquant qu'il a reçu un MMS,
- le transfert des données du relais vers le destinataire.
La notification du relais au destinataire est faite via un message de type "M-Notification.ind".
Le transfert des données du relais vers le destinataire est fait via un ou plusieurs messages de type "M-Retrieve.conf".
Le logiciel "MMS Composer" d'ArcSoft prend en charge toutes les étapes relatives à la gestion des MMS : création, modification, lecture, envoi et réception.
Les vulnérabilités :
La première vulnérabilité est due à un débordement mémoire dans la gestion des messages de type "M-Notification.ind" qui provoque l'arrêt brutal de l'application. Ce type de message étant reçu de manière asynchrone sur le port UDP 2948, cette vulnérabilité permet à un attaquant distant, via un paquet UDP spécifiquement formaté envoyé au travers d'un réseau sans fil (WLAN), de provoquer un déni de service d'une application vulnérable.
Nota :
Un attaquant distant n'a pas besoin d'envoyer un MMS pour exploiter cette vulnérabilité.
Un programme de démonstration ("Proof-of-Concept")
relatif à cette vulnérabilité a été diffusé sur Internet.
La seconde vulnérabilité est due à un débordement mémoire
dans la gestion d'en-têtes MMS mal formées dans les messages de type
"M-Retrieve.conf". Elle permet à un attaquant distant, via un MMS
spécifiquement formaté, de provoquer un déni de service d'une application
vulnérable.
La troisième vulnérabilité est due à un débordement mémoire dans la gestion du corps d'un message MMS mal formé de type "M-Retrieve.conf". Elle permet à un attaquant distant, via un MMS spécifiquement formaté, d'exécuter du code arbitraire sur un système vulnérable avec les privilèges de la victime qui le reçoit.
La quatrième vulnérabilité est due à des débordements mémoire lors de l'interprétation du fichier SMIL ("Synchronized Multimedia Integration Language"). Elle permet à un attaquant distant, via un MMS spécifiquement formaté, d'exécuter du code arbitraire sur un système vulnérable avec les privilèges de la victime qui le reçoit.
Nota : Un programme de démonstration
("Proof-of-Concept") relatif à cette vulnérabilité a été diffusé sur
Internet.
Solution :
L'éditeur (ArcSoft) n'a pas corrigé ces vulnérabilités.
La solution temporaire pour éviter d'être attaqué via l'exploitation de la première vulnérabilité (interruption de service) est de fermer le port UDP 2948.
Nota : L'équipement concerné ne reçoit alors plus de MMS.
La solution temporaire pour éviter d'être attaqué via l'exploitation des autres vulnérabilités est de ne pas lire les MMS reçus de personnes inconnues ou non sures.
Pour plus d'information :
- Message de la liste "Bugtraq" : http://www.securityfocus.com/archive/1/442841
- Avis de Securityfocus : http://www.securityfocus.com/bid/19451
- ArcSoft "MMS Composer" : http://www.arcsoft.com/products/mobiledevicesolution/ms_mms.asp
- Spécification de l'échange de MMS via le protocole WAP : http://www.openmobilealliance.org/tech/affiliates/wap/wap-206-mmsctr-20020115-a.pdf