Une vulnérabilité dans QuickTime (de Apple) peut être exploitée afin d’exécuter du JavaScript non désiré, ou toute sorte de code via le moteur chrome de Firefox. Cette faille est décrite comme similaire à celle rapportée l’an dernier à propos de MySpace.
La vulnérabilité concerne la manière dont QuickTime charge les fichiers QTL (des fichiers XML contenant les liens vers les contenus audio et vidéo). Du JavaScript peut être inséré dans les attributs du XML qui sont lus automatiquement lors du chargement.
QuickTime autorisant ces fichiers de manière transparente pour l’utilisation de contenu multimédia, cette faille concerne tous les formats pouvant être lus par le lecteur QuickTime. Une quarantaine de formats concernés sont pour l’instant recensés.
La faille a été présentée par un chercheur en sécurité londonien sur son blog. Étant donné que la faille a été découverte il y a un an et qu’une solution ne semble pas encore avoir été proposée de manière satisfaisante, il a « décidé de mettre en ligne une démonstration de comment un problème de risque faible peut être impliqué dans une attaque de risque élevé », comme l’écrit D. Petkovand sur son blog.
Attention cependant, bien que la démonstration implique le moteur chrome de Mozilla, Firefox n’est pas le seul programme concerné. En effet, cette faille de QuickTime peut aussi bien affecter Internet Explorer.
Jeu de briques
Snake
Pacman
Bubble