Une faille dans QuickTime permet une attaque par drive-by sur Internet Explorer
Après qu'Apple a mal nettoyé un ancien code

Le , par Katleen Erna, Expert éminent sénior
Une faille dans QuickTime permet une attaque par drive-by sur IE, après que des développeurs d'Apple aient mal nettoyé un ancien code

Un chercheur espagnol travaillant pour Wintercore vient de révéler la présence d'une faille dans le code de QuickTime qui ouvrirait la porte à des attaques de type drive-by lorsqu'Internet Explorer est utilisé. Ironie, qu'un produit Apple ouvre une brèche dans un produit Microsoft ?

Le code en question est ancien et aurait normalement du être nettoyé par les programmeurs de la firme à la pomme suite à l'abandon de la fonction "_Marshaled_pUnk", mais il n'en a pas été ainsi.

La fonctionnalité a en effet été supprimée, mais son paramètre est toujours en place dans les dernières versions du lecteur multimédia d'Apple.

Comment les attaquants doivent-ils procéder ? Par une sorte de phishing en poussant la victime à visiter un site compromis contenant un code malveillant. Ce code s'exécutera sur une machine tournant sous Windows XP, Vista ou Seven et où QuickTime 7.x ou QuickTime 6.x est installé.

L'attaque s'infiltre en bernant également deux mesures de sécurité que Microsoft a récemment ajouté à Windows : DEP (Data Execution Prevention) et ASLR (Address Space Layout Randomization).

La technique utilisée pour passer outre ces deux "barrières" est la même que celle présentée lors du concours de hacking Pwn2Own sur Internet Explorer 8 par Peter Vreugdenhil.

Santamarteur, le chercheur espagnol, a envoyé les détails de son exploit à Metasploit dont les développeurs sont désormais en pleine conception d'un module pour un toolkit, qui devrait être disponible demain.

Tous les spécialistes de cet organisme pensent que la faille en question n'est pas une back door laissée là intentionnellement par un développeur d'Apple, mais bel et bien un oubli.

Ils s'attendent également à une arrivée prochaine d'attaques utilisant cette vulnérabilité, puisque tous les détails la concernant circulent sur le Net. Elle devrait rapidement être incorporée à de nombreux kits d'exploits.

En attendant qu'Apple produise un patch (le dernier patch pour Windows date du 11 août), il est possible, pour se protéger, de désactiver le plug-in QuickTime, voir de le désinstaller. Symantec conseille également de le renommer.

Source : Wintercore


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Caly4D Caly4D - En attente de confirmation mail https://www.developpez.com
le 31/08/2010 à 18:20
comment la faille se retrouve déjà sur le net ?

Il à fait un PoC des qu'il l'a trouvé ou bien … j'ai pas compris l'article ?
Offres d'emploi IT
Ingénieur sécurité infrastructures h/f
Atos - Ile de France - Les Clayes-sous-Bois (78340)
Développeur Architecture Web.Net H/F
Pages Jaunes - Ile de France - 75002 PARIS / Boulevard Sébas
Ingénieur Java J2ee Stagiaire
Fullsix - Ile de France - Levallois-Perret

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil