Objet: Vulnérabilité dans le contrôle ActiveX Apple QuickTime

Résumé

Une vulnérabilité non-corrigée dans le contrôle ActiveX Apple QuickTime permet à un utilisateur distant malintentionné d'exécuter du code arbitraire.

Description

Une vulnérabilité non-corrigée dans le contrôle ActiveX QuickTime (QTPlugin.ocx) permet à une personne distante malintentionnée d'exécuter du code arbitraire via une page web spécialement construite.

Le problème résidant dans le contrôle ActiveX QuickTime, l'exploitation n'est possible, à ce jour, que via le navigateur Internet Explorer.

Le savoir-faire nécessaire pour exploiter cette vulnérabilité est d'ores et déjà disponible sur l'Internet.

Contournement provisoire

Afin de limiter l'impact lié à l'exploitation de cette vulnérabilité, les contournements décrits ci-dessous, non exhaustifs, peuvent être appliqués.

Remarque : la mise en œuvre de ces contournements de sécurité peut avoir des effets de bord sur l'activité du système. Il est important de les tester avant tout déploiement.

• Renommer, supprimer, ou retirer les droits d'accès du fichier suivant :

  C:\Program Files\QuickTime\QTPlugin.ocx

• désactiver le chargement du contrôle ActiveX dans Internet Explorer :

  Positionner la valeur Compatibility Flags comme décrit ci-dessous :

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
  {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
  ``Compatibility Flags''=dword:00000400
  

Solution

Cette vulnérabilité est corrigée dans la version 7.6.8 de QuickTime. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).