CERTA-2007-ALE-014
Vulnerability from certfr_alerte

Une vulnérabilité touchant Apple QuickTime permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité a été identifiée dans Apple QuickTime. Ce lecteur multimédia permet à une personne de spécifier un média à lire après l'exécution du média courant (option QTNEXT d'un fichier multimédia). Cette fonctionnalité peut cependant être détournée pour exécuter du code Javascript, et donc du code arbitraire sur le poste de l'utilisateur. L'interpréteur Javascript utilisé est le navigateur Internet par défaut de l'utilisateur.

Des codes de démonstration sont disponibles sur l'Internet et fonctionnent si Mozilla Firefox est le navigateur par défaut, sur Microsoft Windows. Les autres systèmes d'exploitation ne semblent pas concernés mais le navigateur Netscape Navigator, basé sur le même moteur de rendu que Firefox, est aussi vulnérable.

Pour résumer, les problèmes rencontrés sont :

  • QuickTime n'offre pas la possibilité de bloquer le Javascript ;
  • QuickTime associé à un navigateur comme Mozilla Firefox ne respecte pas la politique du navigateur liée au Javascript.

Il est important de noter que l'utilisation d'un navigateur alternatif ne contourne pas le problème si Mozilla Firefox est défini comme navigateur par défaut.

Contournements provisoires

Quelques contournements sont envisageables :

    • ouvrir la fenêtre about:config ;
    • filtrer les options en tapant protocol ;
    • mettre l'option network.protocol-handler.external.javascript à la valeur true.

    Ceci n'empêche pas l'exploitation mais avertit l'utilisateur lorsqu'une application externe appelle l'interpréteur Javascript de Firefox.

  2. l'utilisation d'une extension telle que NoScript peut bloquer l'exécution de code si l'option Forbid scripts globally est activée.

  3. définir un navigateur alternatif non basé sur le moteur de rendu Gecko comme navigateur par défaut. Des tests internes au CERTA ont montré que Seamonkey 1.1.4 ne semble pas vulnérable mais il convient de rester prudent.

Le meilleur contournement à la date de rédaction de cette alerte consiste à désinstaller complètement l'application QuickTime dans l'attente d'un correctif d'Apple et/ou Mozilla.

Solution

L'éditeur Mozilla a publié un correctif pour le navigateur Firefox (version 2.0.0.7) qui empêche l'exécution de scripts arbitraires via une ligne de commande avec le paramètre -chrome.

Apple a également publié un correctif (7.2.0.245) pour Quicktime. (cf. section Documentation).

Apple QuickTime 7.2 et versions antérieures sur Microsoft Windows.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eApple QuickTime 7.2 et versions ant\u00e9rieures sur Microsoft  Windows.\u003c/P\u003e",
  "closed_at": "2007-10-12",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans Apple QuickTime. Ce lecteur\nmultim\u00e9dia permet \u00e0 une personne de sp\u00e9cifier un m\u00e9dia \u00e0 lire apr\u00e8s\nl\u0027ex\u00e9cution du m\u00e9dia courant (option QTNEXT d\u0027un fichier multim\u00e9dia).\nCette fonctionnalit\u00e9 peut cependant \u00eatre d\u00e9tourn\u00e9e pour ex\u00e9cuter du code\nJavascript, et donc du code arbitraire sur le poste de l\u0027utilisateur.\nL\u0027interpr\u00e9teur Javascript utilis\u00e9 est le navigateur Internet par d\u00e9faut\nde l\u0027utilisateur.\n\nDes codes de d\u00e9monstration sont disponibles sur l\u0027Internet et\nfonctionnent si Mozilla Firefox est le navigateur par d\u00e9faut, sur\nMicrosoft Windows. Les autres syst\u00e8mes d\u0027exploitation ne semblent pas\nconcern\u00e9s mais le navigateur Netscape Navigator, bas\u00e9 sur le m\u00eame moteur\nde rendu que Firefox, est aussi vuln\u00e9rable.\n\nPour r\u00e9sumer, les probl\u00e8mes rencontr\u00e9s sont :\n\n-   QuickTime n\u0027offre pas la possibilit\u00e9 de bloquer le Javascript ;\n-   QuickTime associ\u00e9 \u00e0 un navigateur comme Mozilla Firefox ne respecte\n    pas la politique du navigateur li\u00e9e au Javascript.\n\nIl est important de noter que l\u0027utilisation d\u0027un navigateur alternatif\nne contourne pas le probl\u00e8me si Mozilla Firefox est d\u00e9fini comme\nnavigateur par d\u00e9faut.\n\n## Contournements provisoires\n\nQuelques contournements sont envisageables :\n\n1.  -   ouvrir la fen\u00eatre about:config ;\n    -   filtrer les options en tapant protocol ;\n    -   mettre l\u0027option network.protocol-handler.external.javascript \u00e0\n        la valeur true.\n\n    Ceci n\u0027emp\u00eache pas l\u0027exploitation mais avertit l\u0027utilisateur\n    lorsqu\u0027une application externe appelle l\u0027interpr\u00e9teur Javascript de\n    Firefox.\n\n2.  l\u0027utilisation d\u0027une extension telle que NoScript peut bloquer\n    l\u0027ex\u00e9cution de code si l\u0027option Forbid scripts globally est activ\u00e9e.\n\n3.  d\u00e9finir un navigateur alternatif non bas\u00e9 sur le moteur de rendu\n    Gecko comme navigateur par d\u00e9faut. Des tests internes au CERTA ont\n    montr\u00e9 que Seamonkey 1.1.4 ne semble pas vuln\u00e9rable mais il convient\n    de rester prudent.\n\nLe meilleur contournement \u00e0 la date de r\u00e9daction de cette alerte\nconsiste \u00e0 d\u00e9sinstaller compl\u00e8tement l\u0027application QuickTime dans\nl\u0027attente d\u0027un correctif d\u0027Apple et/ou Mozilla.\n\n## Solution\n\nL\u0027\u00e9diteur Mozilla a publi\u00e9 un correctif pour le navigateur Firefox\n(version 2.0.0.7) qui emp\u00eache l\u0027ex\u00e9cution de scripts arbitraires via une\nligne de commande avec le param\u00e8tre -chrome.\n\nApple a \u00e9galement publi\u00e9 un correctif (7.2.0.245) pour Quicktime. (cf.\nsection Documentation).\n",
  "cves": [
    {
      "name": "CVE-2006-4965",
      "url": "https://www.cve.org/CVERecord?id=CVE-2006-4965"
    },
    {
      "name": "CVE-2007-4673",
      "url": "https://www.cve.org/CVERecord?id=CVE-2007-4673"
    }
  ],
  "initial_release_date": "2007-09-13T00:00:00",
  "last_revision_date": "2007-10-12T00:00:00",
  "links": [
    {
      "title": "Entr\u00e9e sur le bloc-notes Mozilla du 12 septembre 2007 :      /",
      "url": "http://blog.mozilla.com/security/2007/09/12/quicktime-to-firefox-issue"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Mozilla MFSA 2007-28 du 18 septembre    2007 :",
      "url": "http://www.mozilla.org/security/announce/2007/mfsa2007-28.html"
    },
    {
      "title": "Avis du CERTA CERTA-2007-AVI-407 du 19 septembre 2007 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-407/index.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Apple 306560 du 03 octobre 2007 :",
      "url": "http://docs.info.apple.com/article.html?artnum=306560"
    },
    {
      "title": "Rapport de bogue #395942 de Mozilla :",
      "url": "https://bugzilla.mozilla.org/show_bug.cgi?id=395942"
    },
    {
      "title": "Bulletin d\u0027actualit\u00e9 CERTA-2007-ACT-037 - \u00ab Vuln\u00e9rabilit\u00e9    sur Quicktime et Firefox \u00bb :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-037.pdf"
    },
    {
      "title": "Bulletin d\u0027actualit\u00e9 CERTA-2007-ACT-011 - \u00ab Le Javascript    est omnipr\u00e9sent \u00bb :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-011.pdf"
    }
  ],
  "reference": "CERTA-2007-ALE-014",
  "revisions": [
    {
      "description": "version initiale ;",
      "revision_date": "2007-09-13T00:00:00.000000"
    },
    {
      "description": "mise \u00e0 jour des syst\u00e8mes affect\u00e9s, de la description, des contournements et ajout de r\u00e9f\u00e9rences ;",
      "revision_date": "2007-09-14T00:00:00.000000"
    },
    {
      "description": "mise \u00e0 jour de la solution et de la documentation ;",
      "revision_date": "2007-09-19T00:00:00.000000"
    },
    {
      "description": "ajout d\u0027une r\u00e9f\u00e9rence CVE et du correctif pour Quicktime.",
      "revision_date": "2007-10-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 touchant Apple QuickTime permet \u00e0 une personne\nmalintentionn\u00e9e d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Apple QuickTime",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.