Quicktime

Le problème n'est pas le nombre de failles découvertes, aucun éditeur n'est à l'abri, mais la capacité de l'éditeur à fournir des patchs rapidement.

Microsoft et les autres éditeurs cités sont plutôt habitués à corriger les failles assez rapidement ou d'avertir la fin du support de leurs logiciels (cas de Windows XP par exemple) pour que l'on puisse prendre des dispositions suffisamment tôt.

De plus les risques sont très fortement réduits si :

- l'utilisateur d'un PC respecte les bonnes pratiques en matière de sécurité (mise à jour de sécurité des OS et logiciels, plugins, antivirus, pilotes... ) choisit bien son antivirus, ne désactive pas l'UAC...

- ... et s'il évite d'écouter les pseudos experts sur de nombreux forums, qui racontent par exemple qu'un antivirus est inutile, que l'on peut utiliser Windows XP sans craintes sur le web (plus maintenu et rempli de failles de sécurité) et incitent à désactiver l'UAC parce que çà n'est pas pratique, ou disent que parce qu'ils n'ont jamais eu d'alerte de leur antivirus ils sont à l'abri et protégés !!!


Si les éditeurs de logiciels communiquent suffisamment longtemps à l'avance, pour certains, la fin de leur support pour les produits obsolètes, cà n'est pas pour des prunes !!!

Les systèmes et logiciels obsolètes

Ah oui lesquelles ?

La quasi totalité des failles identifiées en dehors de celles découvertes par des "black Hats" (et pour cause) sont rendues publiques après disponibilité d'un correctif, dans quelques cas très rares, comme celui dont on parle dans ce fil, ces failles sont divulgées avant. Cette pratique pu courante est, à mon sens, nécessaire pour que des solutions soient trouvées, ou qu des mesures soient prises avant que des individus malveillants les utilisent.

Pour info, la démarche classique des inventeurs d'exploits (experts, éditeurs de solutions de sécurité... ) est de prévenir préalablement l'éditeur du logiciel des failles de sécurité découvertes pour qu'elles soient corrigées avant publication, de façon à ce que les utilisateurs finaux puissent appliquer un correctif rapidement en limitant les risques.
Le problème est que, d'après TrendMicro, Apple a été informé de ces deux failles en novembre 2015, vous connaissez la suite avec une réponse plutôt laconique d'Apple.

La démarche de TrendMicro est plutôt saine, c'est-à-dire informer les utilisateurs des risques encourus par une faille "Zero Day" (failles utilisées sans qu'il n'y ait de correctif disponible), pour pousser Apple et les éditeurs à trouver une solution au problème rapidement et aux utilisateurs de prendre des mesures conservatoires temporaires dans l'espoir d'une solution durable.

Or, les utilisateurs de Qt sont plus nombreux qu'on ne le pense sous Windows, les risques potentiels encourus surtout si comme le laisse entendre Apple, QuickTime pour Windows n'est plus maintenu,c'est-à-dire plus de support pour la correction de failles de sécurité, les risques sont donc élevés.
Tout cela sans en avoir averti clairement et suffisamment à temps le public et les éditeurs utilisant QT, pour qu'ils puissent prendre leurs dispositions afin de limiter les risques, quitte à travailler "offline" pour ceux qui le peuvent en attendant une solution pérenne.
On voit bien dans le communiqué d'Adobe leur embarras, ils n'ont pas de solution rapide à proposer à ce jour aux utilisateurs de leurs logiciels PP, AE, AU ...
Le silence des autres éditeurs (Pros et grand public) utilisant Apple QT en dit long aussi !!!



Gaston

 

Toutes celles non publiées, celles à découvrir encore.

Ils sont embarassés parce qu'ils savent qu'ils vont devoir engager un développement non prévu pour pouvoir se passer de QT. Pas urgentissime en soi mais aucun éditeur ne peut prendre le risque de communiquer qu'il continuera à utiliser leur librairie pourrie. Après la bombe allumée par Trend, les boites vont prendre le temps de rédiger leur communiqué et allouer des ressources pour régler le problème. Dans ces boites on réagit avec prudence avec le légal dans la boucle pour éviter les boulettes. Ne pas oublier les conséquences que peuvent engendrer des erreurs dans ce type d'exercice: cotation boursière, etc... et ... le décalage horaire ...

Les deux exploits en question sont démontrés avec le player QuickTime, pas Edius, handbrake ou je ne sais quoi d'autre. Techniquement faisable mais une cible sans intérêt. Dans l'immédiat, la prise de risque c'est d'ouvrir un fichier "pourri" avec leur player et cela est tout sauf nouveau. Sur MITRE, des entrées sur des exploits qui utilisent le .MOV comme vecteur il en a depuis des lustres et ce n'est pas spécifique à windows...

Depuis ses débuts, QT (lire la librairie et le player gratuits), est codé en mode goret.

Ce qui est nouveau c'est qu'Apple tourne le dos au monde windows. Ils vont quand même devoir fixer leur code pour OS/X.

Trend s'offre un plan com à la sauce caviar et tout le monde part au 1/4 de tour. En ce qui me concerne, je ne suis pas du tout inquiet.

Pour Edius, Steve Wise a donné la position officielle de GV:

The United States Computer Emergency Readiness Team (US-CERT) has officially announced the vulnerability of Apple QuickTime for Windows:

Apple Ends Support for QuickTime for Windows; New Vulnerabilities Announced

EDIUS uses QuickTime components for the handling of certain image types and formats. Functionality will be lost if QuickTime is uninstalled, and it is summarized as follows:

• Still Image File Formats: BMP (export only); JPEG; JPEG2000; TIFF; PSD; PNG; SGI; GIF; GIF89a; JFIF; Mac PICT; sgiRGB.
• MOV Video File Formats: DNxHD; HQ/HQX (import only); DV; DVCPRO; HDV; ProRes.
• Other Video File Formats: MP4 (H.264/AVC); MP4 (XAVCS); M4V; Windows Media (ASF/WMV).
• Audio: MOV (other than LPCM and AAC).

Grass Valley engineering will be assessing how best to update EDIUS to ensure that the full feature set is available without any requirement to install QuickTime for Windows. We will advise as soon as possible a timescale for when we think this can be implemented.

En bref, pour ceusses qui sont vraiment en mode parano ou qui ont l'habitude de trainer dans du "n'importe quoi" avec leur brouteur ouaibe de la mort, deux solutions:

- désinstaller complètement QT et attendre des jours meilleurs
- renommer ou supprimer le player QT

Moi je laisse tout en l'état et je vais m'endormir tranquille.

 

+1

Olivier

 

+ 1
Bertrand

 

+1
Jean-marie

 

Bonjour,

c'est un peu absurde, tu peux expliquer en quoi les failles non publiées sont plus critiques que celles publiées et qui ne font pas l'objet d'un correctif ?

Les failles de sécurité existent depuis les débuts de l'informatique, celles non publiées ne présentent que très peu de risques dans la mesure où elles font rapidement, dans la grande majorité des cas, l'objet d'un correctif en fonction du niveau de criticité de la faille.
On ne peut pas reprocher à Microsoft, Google, Mozilla de traîner des pieds pour corriger des failles de leurs produits.
Concernant celles non découvertes tu peux expliquer quel risque tu cours ?

Je comprends bien que les éditeurs soient embarassés, pour rappel, TrendMicro a informé Apple en novembre 2015 et ces failles touchent potentiellement de nombreux internautes utilisant Windows (via le plugin Quicktime) mais aussi des utilisateurs de logiciels, plus particulièrement des professionnels coincés par l'installation préalable de QuickTime pour installer leur logiciel professionnel ou grand public(montage vidéo, audio, retouche photo...).

Tu crois que l'attitude d'Apple est responsable et éthique vis à vis des éditeurs et surtout des clients utilisant QuickTime ou intégrés à des logiciels professionnels ?

Sauf que le plugin Quicktime peut être présent dans les navigateurs et que de nombreux logiciels sous Windows, professionnels ou non, font appel à QuickTime (Montage vidéo, audio, retouche photo...)
Concernant le lien de Mitre et consors merci mais je connais ces sites depuis de nombreuses années.

TrendMicro fait son travail dans les règles de l'art, un autre éditeur aurait agit de la même manière.

La même que la position officielle d'Adobe, des éditeurs livrés à eux-mêmes et qui disent aux utilisateurs professionnels et autres on fait notre possible pour traiter le problème et vous fournir une solution dès que possible.
L'histoire ne dit pas si ces éditeurs ont été informé en novembre dernier ou ont découvert le problème ces jours-ci !!!

Pour les retraités ou autres particuliers prendre ce genre de chose à la légère, c'est leur affaire après tout, mais lorsque l'on trouvera des fichiers vérolés sur les forums audio vidéo comme le repaire tous les forumeurs et repairenautes en profiteront !!!

Une solution comme indiqué dans un de mes précédents posts est déjà de désactiver le plugin QuickTime des navigateurs ou mieux d'utiliser sa station de montage "offline".
Mais en entreprise, les professionnels des médias (audio, vidéo et photo) sous Windows, ils font quoi s'ils ne peuvent pas travailler "offline" et désinstaller quicktime sans rendre leurs logiciels de production inopérants ?

Passer sous Linux ou MacOS ?

Chacun fera ce qu'il veut après tout !!!




Gaston

 

+1
georgesv

 

Juste une question ...combien d'entre nous ont ils été déjà touché unproblème venant de QT dans Edius...
je dis bien dans Edius et pas en utilisant QT dans d'autres application telle que IE, Chrome etc... ?
georgesv

 

J'utilise assez peu QuickTime, puisqu'il sert essentiellement à décoder les conteneurs en .MOV, mais que ce soit dans Premiere, Edius, Végas, ou d'autres logiciels de montage, je n'ai jamais eu aucun soucis avec.
Quand aux accès Internet, il ne s'est jamais installé en tant que plugin dans Internet Explorer, ni Google Chrome, ni Firefox, donc aucun problème non plus, et je ne clique pas sur n'importe quelle vidéo pour la télécharger !

Olivier

 

Bonjour,

C'est pourtant simple: une faille non corrigée mais publiée permet d'en limiter la portée voire d'éliminer le risque totalement quand le contexte opérationnel le permet. Non publiée, non connue publiquement, elle peut être exploitée dans les grandes largeurs et ca on sait où ca mène. Ou alors on n'a pas la même définition du verbe publier.

Olivier a raison. Toute faille à corriger à d'abord été inconnue. On peut donc admettre que tout logiciel ou OS comporte des failles non connues qui feront l'objet d'une découverte fortuite ou non. Après, c'est selon l'inventeur: chercheur ou gros vilain. Le premier va rentrer dans le cycle d'alerte responsable, pour l'autre je te laisse deviner.

L'éthique, dans un monde néo-libéral et dématérialisé il va falloir la chercher. Pour moi c'est surtout très peu loyal mais comme c'est du soft gratuit et que Apple a depuis longtemps embarqué dans le bus HTML5 ... Une communication officielle d'Apple serait bienvenue.

Oui, tout à fait, mais il faut mettre cela en perspective en considérant le pourcentage de vidéos en ligne proposées dans un container MOV.

Je pense que ce genre de remarque n'apporte pas grand chose sur le sujet. Si j'ai utilisé MITRE c'est que c'est concis et ca illustre bien à quel point le code de QT est mal ficelé. Après si tu le désires, on peut causer pen-test, pf, AH vs. ESP, IKEv2, AES256-CBC, etc ... mais ailleurs qu'ici.

Mais cela leur offre une belle visibilité tout de même. Quelque part, mais à une échelle moindre, ca me rappelle un peu le blast engendré à l'occasion de la publication de l'OULU.

En suivant les bonnes crèmeries ils étaient forcément au courant que, pour la nième fois, QT est encore vulnérable. Seulement ce n'est pas leur métier et je ne suis pas sûr qu'ils affectent des ressources pour faire de la veille sécurité. Jusqu'à présent, soit ils attendaient le correctif d'Apple ou alors il faisaient leur propre revue de code juste au cas où (enfin je suppose hein ). La nouvelle c'est qu'il vont dorénavant devoir compter que sur eux-mêmes. QT4W a toujours été fourni gratuitement sans aucun engagement spécifique d'Apple et ils (Apple) n'ont jamais caché qu'il se contrefichent du monde windows. Si des éditeurs ont pris le risque de s'appuyer sur la version gratuite de QT en ayant choisi la facilité je ne vais pas avoir beaucoup d'empathie pour eux: l'historique des failles est impressionant, moi ca m'aurait incité a me débarasser de tout dépendance avec ce truc. Ceux qui l'ont fait doivent bien rigoler aujourd'hui.

Je ne prends rien à la légère mais je sais parfaitement ce que je fais dans le contexte qui est le mien. MSE est désactivé, wupdate aussi. Depuis des années, babasse est connectée 24/7 et ce même au travers d'un /48 v6. A ce jour, zéro, je dis bien zéro, virus, keylogger, backdoor ou autre. Mais encore une fois je sais (vraiment) ce que je fais dans ce contexte *là*.

Facile, en attendant une solution pérenne, on confine en quarantaine les fichiers MOV provenant de sources non sécurisées. Avec un compte de type bac-à-sable sur une machine dédiée, on les ouvre avec toutes les versions de QT déployées dans la boite et on voit ce qui ce passe, violation mémoire, overflow, plantage ? => poubelle et on prévient l'entité qui a fourni le fichier. Je serai surpris qu'une boite de prod récupère des "rushs" posés sur une machine trouée quelque part sur Internet sauf si c'est celle d'un partenaire rooté à l'insu de son plein gré. Mais peut-être que je sur-estime leur degré de sensibilisation à ces problématiques.

Dans ce domaine je pencherai plutôt pour l'OS de Theo de Raadt mais, là, ca va être vraiment compliqué

Voilà, je ne vais pas changer mes habitudes d'un iota en ce qui concerne *CETTE* machine. Il est bien évident que dans un autre contexte je pourrais demander l'application d'une politique très stricte façon ayatollah à laquelle le management opposera la continuité du business...

 

Bonjour,

Un rappel sur l'origine de la remarque d'Ogt :

Parce que les autres OS et logiciels utilisés sur les autres plate-formes ne contiennent aucunes failles de sécurité.

Documents émis par le CERT-FR en 2016


Pour la majorité des utilisateurs et des professionnels, leur droit est de savoir à quoi s'en tenir lorsqu'une faille de sécurité est identifiée, soit un correctif existe soit non dans les deux cas l'utilisateur professionnel ou non applique le correctif ou prend les mesures nécessaires pour limiter les risques de compromission du système d'information.

Jusqu'à preuve du contraire, les seuls conseils qui ont été donnés par Apple, les éditeurs sont plutôt succincts pour rassurer les utilisateurs ?
Supprimer QuickTime, ne rien faire, attendre que les éditeurs aient fait leur possible sans aucune visibilité sur le timing ?

Tu devrais relire mes posts, c'est exactement ce que je dis

Faut vraiment être un expert pour faire ce constat !!!

Oui et alors ?
Le gros vilain va exploiter la faille et elle sera probablement détectée par les spécialistes (éditeurs et spécialistes en sécurité) et entrer dans le cycle classique :
- identification de l'exploit par les éditeurs de solutions de sécurité
- information auprès de l'éditeur du logiciel concerné
- création d'un correctif
- publication de la faille et du correctif

Pour les failles non publiées (backdoor,...) sur toutes les plates-formes, elles ne le sont pas parfois pour de bonnes raisons et celles-ci sont exploitées de façon bien plus incidieuses par des individus, groupes mal intentionnés ou des organisations gouvernementales qui ne réclament qu'une chose : la discrétion. Il suffit que ce type de faille soit identifiée par hasard ou non pour qu'elle rentre dans le cycle classique.

Alors pourquoi incriminer Microsoft, Google, Mozilla sous Windows alors que sur toutes les autres plates-formes le problème est identique.

Par principe une faille non découverte est une faille présente dans un logiciel et qui n'a pas été identifiée, donc le risque pour le S.I. est nul.

Gratuit, pas exactement, il existe un version payante (version Pro) et est indispensable pour l'installation et l'utilisation de certains logiciels, ces éditeurs devant a priori payer des royalties à Apple. Malgré la fin du support annoncé, QuickTime pour Windows est toujours disponible en téléchargement.
Apple aurait pu informer les utilisateurs sous Windows et les informer de la conduite à tenir pour limiter les risques dans le cas où ils ne peuvent pas désinstaller Quicktime pour différents raisons.

es-tu sûr que cela concerne uniquement les .mov et pas tout ceux que QuickTime peut ouvir ?

+1 ton lien (MITRE) n'apporte pas non plus grand chose au débat, sauf peut-être pour ceux qui sont persuadés que les autres OS et applis Apple, Linux sont exempts de failles de sécurité.

Non merci, j'aborde un peu trop souvnt ces domaines par ailleurs !!!

TrendMicro aurait dû laisser courrir pour que la faille soit exploitée tôt ou tard par des individus malveillants et faire des victimes ?

Tu en connais beaucoup des plugins ou logiciels exempts de failles et diffusés sur touts les plates-formes ? Flash Player, Java ... sont pas mieux et pourtant leurs failles récurrentes ne les empêchent pas d'être toujours utilisés, quoique Flash de moins en moins.

Je ne suis pas certain que QuickTime soit gratuit pour les éditeurs ils doivent a priori verser des royalties à Apple dont les coûts sont intégrés au logiciel d montag ou autre.

Oui mais tu oublies une chose, c'est qu'ici on est dans un environnement de repairenautes !!!
Ce que tu maîtrises toi ce n'est certainement pas du niveau de l'écrasante majorité des repainautes.

Je pense que tu rêves un peu
Une bonne partie des repairenautes professionnels sont des petites structures, sauf erreur de ma part, avec des compétences en informatique et en sécurité du SI limitées (non péjoratif hein ! ) à part quelques - uns.
Déjà es-tu sûr que cela concerne uniquement les .mov et pas tous les fichiers que QuickTime peut ouvir ?

Des conseils simples auraient pu être donnés par Apple ou les éditeurs, comme de vérifier :
- que les plugins Quicktime pour les navigateurs n'ont pas été installés, une option proposée par l'installeur QT de Windows.
- de décocher dans les préférences de QT Player :
-> Préférences QT Player
"Lire automatiquement les séquences à l'ouverture "
"Lecture sonore lorsque l'application st en arrièr-plan"
"Afficher le guide de contnu au démarrage"
- de décocher dans les préférences de QT Player :
dans l'onglet "navigateur" -> désactiver les options
dans l'onglet "mettre à jour" -> désactiver les options

Clés usb, disques externes...
Je pense que tu sur-estimes, il suffit de parcourir certains posts y compris sur le repaire pour s'en convaincre

Monsieur est un connaisseur question sécurité !!! Mais pas sûr qu'OpenBSD réponde au cahier des charges de la grande majorité des utilisateurs !!!

Dois-je me sentir visé ?
Relis simplement mes premiers posts de ce fil pour les éclaicissements, il y a méprise.
Entre prendre des risques inutiles et maintenir un continuité du business acceptable en limitant les risques au minimum il y a une grande marge.
Evaluer les risques et les coûts engendrés par un sinistre et avoir un plan de reprise d'activité (PRA) solide (mesures préventives, détectives et correctives) est un minimum.




Gaston

 

Papy Gaston nous fait du Calgon ...?

 

tu t'égares Bertrand

Je ne suis pas encore Papy, çà viendra... mais pas tout de suite !!!




Gaston

 

C'est aux éditeurs de procéder à un risk assessment, avec ou sans l'aide d'Apple, et de communiquer ensuite la mesure d'intérim et la roadmap du fix. La roadmap on la sort pas comme-ca du chapeau, en plus ils sont au NAB... C'est un complot !!! (fu2 fsc )

T'as vu ? Ca déchire ca !!!

Il m'a semblé avoir détecté une certaine forme d'humour dans le post d'Olivier.

Trend-Micro n'a pas apporté de précision sur quelle version de QT est abandonnée par Apple. Pour ceux qui utilisent la version pro ou le SDK ils sont censés annoncer la fin de vie selon un calendrier établi. C'est pour cela que j'aimerais lire une communication officielle d'Apple. Maintenant c'est "la pomme", et de l'immatériel... iTunes pour windows n'utilise plus le runtime QT et ils peuvent donc le jeter aux orties. Et si le legal leur a dit qu'ils peuvent en faire de même avec toute la lignée windows ben c'est leur droit pour la plus grande satisfaction des cabinets d'avocats. Je suppose que si une telle décision a été prise ils auront quand même à rendre des comptes avec toutes les entités qui ont payé des licences et du support. J'ose avancer que le SDK ne va pas disparaitre du jour au lendemain.

Je ne suis pas allé voir dans le détail d'autant plus que c'est de plus en plus cher pour les avoir et je m'en fiche un peu. Le bon temps de la liste bugtrack epoque geek-girl et autres full-disclosure est bien loin. Au moins un des deux annoncés par Trend concerne un overflow via l'atome MOOV, donc à priori c'est aussi valable pour un container MP4 mais je n'ai aucune donnée qui me permet d'être catégorique là dessus. Pour le deuxième, là encore il s'agit d'un index dans un atome mais je n'ai pas cherché à savoir lequel. Ce n'est pas dit. Dans l'absolu, j'avoue que cela ne change pas ma position.

Ben si, il donne une vision sur la longue liste des CVE qui concernent QT. Ca montre aussi que depuis trop longtemps, il n'y a pas une année sans overflow ou possibilité d'exécution de code arbitraire via QT. Moi si j'étais dev ou à la tête d'une équipe de dev chez un éditeur j'aurais codé ou fait coder du natif pour ne plus avoir à me demander "à quand le prochain trou dans QT?" ... Les stats CVE sont édifiantes, et encore il manque tout ce qui date d'avant les années 2000 puisque à l'époque, MITRE comme tu dois le savoir, n'existait pas encore.

Cela se lit: dans le ton je te trouve parfois limite agressif. Il faut prendre de l'air de temps en temps, AH & ESP ca rend grognon, surtout quand un p*t**n de tunnel ne remonte pas après un re-keying en phase 2

Ce n'est pas ce que je dis. Je vais formuler autrement: si Apple n'avait pas répondu avec ce laconique "désintaller QT", cela aurait-il fait autant de bruit ? Non ! En tout cas pas plus que pour les autres fois et Trend n'aurait pas cette visibilité soudaine. Tu as entendu beaucoup parler des affres de QT en 2015 ? en 2014 ? en 2013 ? 20XX ? Rien que pour l'année dernière il y a 11 trous publiés (enfin 13 maintenant) et pourtant jusqu'à la semaine dernière les soucis chroniques de QT sont restés plus ou moins noyés dans le bruit usuel.

Ce n'est pas mon propos. Encore une fois: si je suis éditeur et que mon appli repose sur du code tiers qui depuis plus de 10 ans, à chaque année, apporte son lot de vulnérabilités par overflow ou manipulation de heap/stack ben je passe à autre chose.

A ma connaissance, la version gratuite de QT que la plupart utilisent en conf basique n'est pas soumise à royalties mais je peux me tromper. Les autres, ne serait-ce que pour avoir toutes les features ProRes, c'est forcément différent, SDK idem.

Je ne dis pas le contraire mais encore une fois, sauf pour ceux qui vont pêcher n'importe quoi n'importe où, le risque est tout de même limité.

Voilà quelque chose de très pertinent.

Oui, probablement plus que tu sembles l'imaginer.

C'est bien pour cette raison que j'écrivais "mais, là, ca va être vraiment compliqué".

C'est amusant, tu me rappelles quelqu'un plutôt grand expert dans le domaine mais qui ne prend pas toujours le temps de bien lire et comprendre les choses qu'on lui écrit. Forcément, parfois, cela le conduit à des interprétations hasardeuses. Je ne faisais qu'énoncer une réalité du monde de l'entreprise... (enfin ca c'était avant Sarbanes-Oxley...)

EOT pour moi, on est vraiment hors-sujet, ou alors en MP.

Non pas encore, mais c'est vrai qu'il a l'air un peu tendu...