Désinstaller QuickTime , c’est urgent, c’est plein de failles ! Ah bon, mais lesquelles ?

Depuis quelques jours, la toile d’émeut de lire de ci de là qu’il faut désinstaller QuickTime de windows !
quicktime_uninstall_quickAh bon ! Mais pourquoi ?

Tout d’abord, outre le fait que les formats lus par QuickTime de Apple sont lisibles par des logiciels comme VLC, que QuickTime fait la part belle à ses détracteurs qui n’en disent que du mal (outil propriétaire, comme windows d’ailleurs, lent, lourd, pas convivail, moche et compagnie…), QuickTime a longtemps été un outil fiable et de qualité permettant de jouer avec la transparence pour la version pro. C’est également un outil appécié des utilisateurs de Final Cut Pro, et de Adobe Première.

Bref, QuickTime est à désinstaller sur les plateformes windows. Ok, mais pourquoi ?
Tout simplement à cause d’un tweet de TrendMicro :
trend_micro_quicktimeEt ce que dit le tweet : « #Apple ne publiera plus de mises à jour de sécurité pour QuickTime pour Microsoft Windows sur les plates-formes Windows (NDLR : Sic !) ».
Ah, ok ? What else ?

En cherchant ce qui peut pousser à piblier des tweets aussi alarmants, on se rend compte que :
– l’us-cert.gov rapporte en toute logique que tous les logiciels ont un cycle de vie, un début et une fin (même si certains sont à la version V1535), et que Apple a décidé du « zero day » de QuickTime ! (https://www.us-cert.gov/ncas/alerts/TA16-105A)
– que 2 failles existent :
* http://www.zerodayinitiative.com/advisories/ZDI-16-241/
* http://www.zerodayinitiative.com/advisories/ZDI-16-242/
Ces 2 failles sont relatives à QuickTime Atom, que ZDI (zerodayinitiative.com) a largement communiqué avec Apple à ce sujet :

This vulnerability is being disclosed publicly without a patch because vendor indicates that the product is deprecated.

11/11/2015 – ZDI reported 2 vulnerabilities to the vendor
11/11/2015 – The vendor acknowledged receipt of both reports
02/29/2016 – ZDI wrote to the vendor requesting a status update
03/08/2016 – The vendor replied, inviting ZDI to a call
03/09/2016 – ZDI joined a call with the vendor:
ZDI was advised that the product would be deprecated on Windows and the vendor would publish removal instructions for users.
ZDI advised the vendor that the cases would be 0-day.
03/24/2016 – ZDI notified the vendor of the intent to 0-day on or after 4/13
04/01/2016 – The vendor acknowledged and provided a link to their removal instructions

Vendor Response:

https://support.apple.com/HT205771
et a laissé à Apple juqu’au 13 avril pour publier un correctif. Apple a alors tout simplement publié une page d’assistance à la désinstallation du logiciel :
https://support.apple.com/en-us/HT205771

Mais au fait, Movie Atom, c’est quoi ???
je-suis-dubitatifAlors tout d’abord, il faut savoir que l’on parle de format mp4, format très largement répandu, et aujourd’hui utilisés sur toutes les plates-formes ou presque de streaming ou de diffusion de vidéos en logne.
Un fichier mp4 est composé de structures objet, qui sont appelées des « atomes ».
Chacun de ces atomes est défini par un tag unique et une longueur. la plupart de ces atomes décrivent une hiérarchie de métadonnées contenant des informations telles que les points d’index des données pointées, les durées et finalement les données qui pointent sur les données du média. Cette structure d’atomes est contenue dans un atom particulier  : le Movie Atom.
Les données media sont soit dans le fichier mp4 lui-même,et contenues dans 1 ou plusieurs atomes de données média ou « mdat », soit à l’extérieur du fichier mp4 et référencées via des url’s ! Et oui, et c’est là que cela devient intéressant :
Pour boucler la boucle, il faut alors comprendre que pour injecter du code, il faut aller sur un site qui propose du mp4 en streaming (protocole rtmp, port 1935 par exemple) ou pseudo streaming (protocole http, port 80), et il semblerait que pour être exposé à la faille, il faut lire les vidéos avec QuickTime ! Mais quel navigateur aujourd’hui intègre QuikTime comme lecteur ??…

Je suis dubitatif sur le buzz de cet « uninstall », et reste sur ma position : avant de propager quelque chose, il faut le vérifier…

Si on doit enlever ce qui est faillible ou comporte des failles, je vous propose de ne plus aller sur internet (présente potentiellement une faille de sécurité, voir plusieurs et expose à des risques de jeux en ligne, de musique en ligne, de vidéos en ligne, de culture en ligne), je vous propose d’enlever votre système d’exploitation préféré (je n’en nommerai aucun car windows, linux et mac os présentent des failles), je vous propose d’éteindre votre téléphone mobile (présente des failles de sécurité), je vous propose de ne pas allumer votre télévision et d’éteindre le four qui présentent aussi des failles de sécurité !

Pour plus de renseignements, vous pouvez lire :

  • https://developer.apple.com/library/mac/documentation/QuickTime/QTFF/QTFFChap2/qtff2.html
  • https://books.google.fr/books?id=WFNPxnkYHvMC&printsec=frontcover&hl=fr#v=onepage&q&f=false
  • https://www.us-cert.gov/ncas/alerts/TA16-105A
  • http://www.hackervoici.com/faille-lave-linge.html