Une vulnérabilité a été découverte dans le logiciel DirectX, fréquemment utilisé dans le décodage des fichiers multimedias au format Quicktime.
Elle permet à une personne malintentionnée de prendre le contrôle d’un ordinateur via un document Quicktime spécialement construit.
Les versions vulnérables sont les versions 7, 8 et 9 de DirectX, présentes dans Windows 2000, Windows XP et Windows Server 2003. Par contre, Windows Vista et Windows Server 2008 ne sont pas vulnérables.
L’éditeur n’a pas encore publié de correctif, mais il a mis en ligne un programme qui offre une protection temporaire efficace, aucun contenu au format QuickTime ne pouvant alors plus être lu.
Cet utilitaire ainsi que celui qui permet de lire à nouveau les séquences QuickTime, sont disponibles à l’adresse :
http://support.microsoft.com/kb/971778/fr-FR.
Conduite à tenir
Dans l’attente d’un correctif, les mesures suivantes limiteront la vulnérabilité du système :
utiliser un compte aux droits limités (XP ou Vista) pour atténuer l’impact de l’attaque ;
ne pas visiter de sites Internet peu connus, des séquences Quicktime pouvant y être exécutées, parfois automatiquement ;
ne pas ouvrir de document (message électronique notamment) d’origine inconnue ou provenant de manière inattendue d’une source connue ;
utiliser les dossiers classiques de Windows, sans afficher les miniatures. En effet, le simple aperçu de la miniature appellera le composant DirectX et permettra l’attaque. Voir notamment la procédure de changement d’affichage sur le site de Microsoft.
Pour aller plus loin :
Alerte du CERTA 2009-ALE-009 du 29 mai 2009
Source : Portail de la sécurité informatique
Contournement provisoire :
Le filtrage ou la désactivation de certains formats de fichiers QuickTime n'est pas suffisant. D'autres formats peuvent également contenir des données QuickTime (les AVI par exemple). Il faut donc désactiver de préférence l'interprétation de ces données. Cela peut se faire en supprimant la clé de registre suivante :
HKC_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A}
L'avis de sécurité KB971778 de Microsoft pointe vers un service nommé Fix it permettant d'effectuer cette opération sous forme d'un logiciel à installer.
Une autre mesure peut consister à restreindre l'accès à la bibliothèque quartz.dll. La procédure est aussi indiquée dans l'avis de sécurité KB971778. Cette mesure peut cependant avoir des effets de bord sur certains lecteurs multimédia et des applications tierces.
Avis de sécurité Microsoft KB971778 du 28 mai 2009 :
http://www.microsoft.com/france/technet/security/advisory/971778.mspx
http://www.microsoft.com/technet/security/advisory/971778.mspx
http://support.microsoft.com/kb/971778/fr/
Jeu de briques
Snake
Pacman
Bubble