Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Apple QuickTime versions 7.6.7 et antérieures sur plateforme Windows.

Résumé

Une vulnérabilité non-corrigée dans le contrôle ActiveX Apple QuickTime permet à un utilisateur distant malintentionné d'exécuter du code arbitraire.

Description

Une vulnérabilité non-corrigée dans le contrôle ActiveX QuickTime (QTPlugin.ocx) permet à une personne distante malintentionnée d'exécuter du code arbitraire via une page web spécialement construite.

Le problème résidant dans le contrôle ActiveX QuickTime, l'exploitation n'est possible, à ce jour, que via le navigateur Internet Explorer.

Le savoir-faire nécessaire pour exploiter cette vulnérabilité est d'ores et déjà disponible sur l'Internet.

Contournement provisoire

Afin de limiter l'impact lié à l'exploitation de cette vulnérabilité, les contournements décrits ci-dessous, non exhaustifs, peuvent être appliqués.

Remarque : la mise en œuvre de ces contournements de sécurité peut avoir des effets de bord sur l'activité du système. Il est important de les tester avant tout déploiement.

  • Renommer, supprimer, ou retirer les droits d'accès du fichier suivant :

    C:\Program Files\QuickTime\QTPlugin.ocx

  • désactiver le chargement du contrôle ActiveX dans Internet Explorer :

    Positionner la valeur Compatibility Flags comme décrit ci-dessous :

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
    {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
    ``Compatibility Flags''=dword:00000400
    

Solution

Cette vulnérabilité est corrigée dans la version 7.6.8 de QuickTime. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation