Apple renforce la sécurité de QuickTime sous Windows

Si la dernière mouture de QuickTime est passée plus ou moins inaperçue, Apple aurait probablement dû la mettre plus en avant, car elle a marqué un tournant dans l’histoire du logiciel, et surtout sa sécurité. De tous les logiciels frappés du logo de la pomme, QuickTime est de loin celui qui a la plus mauvaise presse sous Windows, notamment pour ses bulletins de sécurité à répétition. Mais cela devrait fortement changer.

QuickTime 7.4.5 inclut en effet plusieurs mécanismes qui, s’ils sont présents dans Leopard et Vista, n’ont jamais été intégrés dans sa version Windows. Par exemple l’ASLR (Adress Space Layout Randomization) est une technologie héritée du monde libre et qui consiste à déplacer aléatoirement en mémoire les données sensibles pour qu’elles ne puissent être visées systématiquement au même endroit par un ver par exemple.

La version Windows remise à niveau

Alors qu’Apple avait intégré l’ASLR dans Leopard et rendu son logiciel compatible, la version Windows n’en profitait pas, quand bien même la technologie est également présente dans Vista. Le retard est donc comblé, et le support de cette protection est une étape importante dans la résistance aux diverses attaques.

La version 7.4.5 a également apporté deux autres défenses au milieu des onze failles corrigées. Le code source du logiciel a été modifié pour inclure le commutateur /GS lors de sa compilation sous Visual Studio 2005, selon une source proche des développements logiciels chez Apple. Ce changement inclut désormais un contrôle de la pile logicielle en vue d’éviter les dépassements de mémoire tampon.

Un mécanisme renforcé, à présent, par le support de la technologie DEP/NX (Data Execution Prevention/No Execute), qui a pour but d’arrêter le fonctionnement d’un logiciel qui aurait un comportement « sortant des sentiers battus » : si un code quelconque s’exécute dans un espace mémoire déclaré comme « non exécutable », le logiciel est aussitôt fermé.

Des protections supplémentaires pour la version Mac également

La version Windows n’est pas la seule à avoir profité d’améliorations au niveau de la sécurité. La mouture pour Mac OS X s’est également vue attribuer l’ajout de deux fonctionnalités :

1. Une vérification de l’état de la pile logicielle
2. Le renforcement des appels de fonctions

Ces deux ajouts ont le même but : empêcher les dépassements de mémoire tampon, qui donnent souvent lieu à des attaques par exécution de code arbitraire, à distance ou localement.

Dans le monde de la sécurité, ces décisions font l’unanimité. Par exemple, Dai Zovi avait, l’année dernière, réussi à pirater un Mac durant la conférence CanSecWest en utilisant une faille de QuickTime. Interrogé sur les bénéfices des changements dans le logiciel, il indique que le support de l’ASLR et du DEP/NX vont clairement entraver les possibilités d’exploitations des failles.

Ceux qui souhaitent télécharger la dernière version de QuickTime pourront se rendre sur cette page. Pour les utilisateurs Mac qui n’auraient pas mis à jour le logiciel, il suffit de se rendre dans le menu Pomme et de sélectionner « Mise à jour de logiciels ».

Source : eWeek

Vincent Hermann le 14 avril 2008 à 10:19 (10 951 lectures)

Tweeter

• 09 / 04 / 2008 : IE : les contrôles ActiveX s'activent désormais automatiquement
• 25 / 03 / 2008 : Dessin : Safari s'incruste dans les mises à jour sous Windows
• 25 / 03 / 2008 : Safari, invité de trop dans les mises à jour Apple sous Windows
• 11 / 02 / 2008 : Apple : disponibilité de QuickTime 7.4.1 et iPhoto 7.1.2
• 16 / 01 / 2008 : Apple : iTunes 7.6 et QuickTime 7.4 sont de sortie
• 11 / 01 / 2008 : QuickTime : une faille critique ouvre une porte dans Windows
• 10 / 01 / 2008 : Nouveautés logicielles de la semaine pour Mac OS X (43)
• 26 / 11 / 2007 : Faille critique pour le streaming dans QuickTime et iTunes
• 06 / 11 / 2007 : Apple : iTunes 7.5 et QuickTime 7.3 sont disponibles

Actu Précédente Actu Suivante