Une faille dans QuickTime permet une attaque par drive-by sur IE

Une faille dans QuickTime permet une attaque par drive-by sur IE, après que des développeurs d'Apple aient mal nettoyé un ancien code

Un chercheur espagnol travaillant pour Wintercore vient de révéler la présence d'une faille dans le code de QuickTime qui ouvrirait la porte à des attaques de type drive-by lorsqu'Internet Explorer est utilisé. Ironie, qu'un produit Apple ouvre une brèche dans un produit Microsoft ?

Le code en question est ancien et aurait normalement du être nettoyé par les programmeurs de la firme à la pomme suite à l'abandon de la fonction "_Marshaled_pUnk", mais il n'en a pas été ainsi.

La fonctionnalité a en effet été supprimée, mais son paramètre est toujours en place dans les dernières versions du lecteur multimédia d'Apple.

Comment les attaquants doivent-ils procéder ? Par une sorte de phishing en poussant la victime à visiter un site compromis contenant un code malveillant. Ce code s'exécutera sur une machine tournant sous Windows XP, Vista ou Seven et où QuickTime 7.x ou QuickTime 6.x est installé.

L'attaque s'infiltre en bernant également deux mesures de sécurité que Microsoft a récemment ajouté à Windows : DEP (Data Execution Prevention) et ASLR (Address Space Layout Randomization).

La technique utilisée pour passer outre ces deux "barrières" est la même que celle présentée lors du concours de hacking Pwn2Own sur Internet Explorer 8 par Peter Vreugdenhil.

Santamarteur, le chercheur espagnol, a envoyé les détails de son exploit à Metasploit dont les développeurs sont désormais en pleine conception d'un module pour un toolkit, qui devrait être disponible demain.

Tous les spécialistes de cet organisme pensent que la faille en question n'est pas une back door laissée là intentionnellement par un développeur d'Apple, mais bel et bien un oubli.

Ils s'attendent également à une arrivée prochaine d'attaques utilisant cette vulnérabilité, puisque tous les détails la concernant circulent sur le Net. Elle devrait rapidement être incorporée à de nombreux kits d'exploits.

En attendant qu'Apple produise un patch (le dernier patch pour Windows date du 11 août), il est possible, pour se protéger, de désactiver le plug-in QuickTime, voir de le désinstaller. Symantec conseille également de le renommer.

Source : Wintercore

comment la faille se retrouve déjà sur le net ?

Il à fait un PoC des qu'il l'a trouvé ou bien … j'ai pas compris l'article ?