CERTA-2008-ALE-001

Vulnerability from certfr_alerte - Published: - Updated:

Une vulnérabilité affectant Apple QuickTime permet à un individu malveillant d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité dans le logiciel multimédia Apple QuickTime permet à une personne malintentionnée l'exécution de code arbitraire à distance via un dépassement de mémoire tampon lors d'une tentative infructueuse de lecture d'un fichier via le protocole Real Time Streaming Protocol (RTSP).

Une fonctionnalité de QuickTime permet de basculer automatiquement du protocole RTSP au protocole HTTP lorsque le port par défaut RTSP n'est pas joignable (554/tcp et 554/udp). Une page d'erreur spécialement conçue pour le protocole HTTP permet l'exploitation de cette vulnérabilité. Des codes d'exploitation ont été diffusés sur l'Internet.

Cette vulnérabilité concerne les machines ayant une version QuickTime à jour, et indépendemment du système d'exploitation installé.

Contournement provisoire

Parmis les contournements provisoires, on note :

  • Vérifier que la prise en charge des liens RTSP est désactivée dans QuickTime en décochant la case Édition -> Préférences -> Préférences de QuickTime -> Types de fichiers -> Enchaînement - séquence en temps réel -> Descripteur de flux RTSP ;

Cette option, qui n'est pas activée par défaut, ne comble en rien la vulnérabilité mais permet de d'éviter l'ouverture de lien malveillant par QuickTime.

  • vérifier la politique de filtrage des flux sortants. QuickTime essaie de se connecter au serveur sur différents ports (rtsp : 554 puis HTTP : 80), mais la politique de filtrage peut influencer ce passage. Ainsi, si les flux sortants vers les ports 554/TCP et 554/UDP sont filtrés et engendrent une absence de réponse dans un intervalle de temps suffisant, QuickTime n'effectue plus la tentative de connexion en HTTP.
  • utiliser un lecteur alternatif.

Solution

Mise à jour du 07 février 2008 :

Apple a corrigé cette vulnérabilité dans la version 7.4.1 de QuickTime, mentionnée dans l'avis CERTA-2008-AVI-059.

Apple QuickTime version 7.3.1.70.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eApple QuickTime version 7.3.1.70.\u003c/P\u003e",
  "closed_at": "2008-02-07",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 dans le logiciel multim\u00e9dia Apple QuickTime permet \u00e0\nune personne malintentionn\u00e9e l\u0027ex\u00e9cution de code arbitraire \u00e0 distance\nvia un d\u00e9passement de m\u00e9moire tampon lors d\u0027une tentative infructueuse\nde lecture d\u0027un fichier via le protocole Real Time Streaming Protocol\n(RTSP).\n\nUne fonctionnalit\u00e9 de QuickTime permet de basculer automatiquement du\nprotocole RTSP au protocole HTTP lorsque le port par d\u00e9faut RTSP n\u0027est\npas joignable (554/tcp et 554/udp). Une page d\u0027erreur sp\u00e9cialement\ncon\u00e7ue pour le protocole HTTP permet l\u0027exploitation de cette\nvuln\u00e9rabilit\u00e9. Des codes d\u0027exploitation ont \u00e9t\u00e9 diffus\u00e9s sur l\u0027Internet.\n\nCette vuln\u00e9rabilit\u00e9 concerne les machines ayant une version QuickTime \u00e0\njour, et ind\u00e9pendemment du syst\u00e8me d\u0027exploitation install\u00e9.\n\n## Contournement provisoire\n\nParmis les contournements provisoires, on note :\n\n-   V\u00e9rifier que la prise en charge des liens RTSP est d\u00e9sactiv\u00e9e dans\n    QuickTime en d\u00e9cochant la case \u00c9dition -\\\u003e Pr\u00e9f\u00e9rences -\\\u003e\n    Pr\u00e9f\u00e9rences de QuickTime -\\\u003e Types de fichiers -\\\u003e Encha\u00eenement -\n    s\u00e9quence en temps r\u00e9el -\\\u003e Descripteur de flux RTSP ;\n\nCette option, qui n\u0027est pas activ\u00e9e par d\u00e9faut, ne comble en rien la\nvuln\u00e9rabilit\u00e9 mais permet de d\u0027\u00e9viter l\u0027ouverture de lien malveillant\npar QuickTime.\n\n-   v\u00e9rifier la politique de filtrage des flux sortants. QuickTime\n    essaie de se connecter au serveur sur diff\u00e9rents ports (rtsp : 554\n    puis HTTP : 80), mais la politique de filtrage peut influencer ce\n    passage. Ainsi, si les flux sortants vers les ports 554/TCP et\n    554/UDP sont filtr\u00e9s et engendrent une absence de r\u00e9ponse dans un\n    intervalle de temps suffisant, QuickTime n\u0027effectue plus la\n    tentative de connexion en HTTP.\n-   utiliser un lecteur alternatif.\n\n## Solution\n\nMise \u00e0 jour du 07 f\u00e9vrier 2008 :\n\nApple a corrig\u00e9 cette vuln\u00e9rabilit\u00e9 dans la version 7.4.1 de QuickTime,\nmentionn\u00e9e dans l\u0027avis CERTA-2008-AVI-059.\n",
  "cves": [
    {
      "name": "CVE-2008-0234",
      "url": "https://www.cve.org/CVERecord?id=CVE-2008-0234"
    }
  ],
  "links": [
    {
      "title": "Avis du CERTA CERTA-2008-AVI-059 du 07 f\u00e9vrier 2008 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-059/"
    },
    {
      "title": "Note de vuln\u00e9rabilit\u00e9 de l\u0027US-CERT VU#112179 du 10 janvier    2008 :",
      "url": "http://www.kb.cert.org/vuls/id/112179"
    }
  ],
  "reference": "CERTA-2008-ALE-001",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2008-01-11T00:00:00.000000"
    },
    {
      "description": "pr\u00e9cisions concernant le filtrage.",
      "revision_date": "2008-01-14T00:00:00.000000"
    },
    {
      "description": "correction apport\u00e9e par Apple dans la version 7.4.1 de QuickTime.",
      "revision_date": "2008-02-07T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 affectant Apple QuickTime permet \u00e0 un individu\nmalveillant d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Apple QuickTime",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.