QuickTime pour Windows : deux failles détectées, mais plus de support technique

Un peu de ménage en perspective

Apple se prépare à arrêter le support technique de QuickTime sous Windows. Deux failles ont été récemment détectées par la Zero Day Initiative, et l’éditeur n’a aucune intention de les corriger. Le gouvernement américain recommande d’ailleurs une désinstallation immédiate.

Lorsqu’un utilisateur sous Windows veut installer iTunes, il met en place du même coup un composant nommé Apple Software Update. Il est responsable des mises à jour des logiciels de la firme sur la plateforme de Microsoft et donne donc un équivalent de ce que l’on trouve sur le Mac avec l’App Store. Il propose également l’installation d’autres composants, notamment iCloud, ainsi que QuickTime.

Apple n'entretiendra plus QuickTime sous Windows

Ce dernier n’a plus eu d’évolution significative depuis bien longtemps. Apple se contente depuis des années de corriger les failles et quelques bugs, mais les utilisateurs peuvent complètement se passer de ce lecteur vidéo qui n’a pas le même rôle sous Windows que sous OS X. Sur ce dernier, QuickTime est en effet un composant central qui contient des briques techniques utilisées dans tout le système. Sous Windows, il s’agit en revanche d’un simple lecteur dont on peut aisèment se passer.

Pour ceux qui l’auraient tout de même installé, la recommandation officielle du gouvernement américain est désormais de le supprimer. Dans une note technique publiée hier, l’US-CERT (States Computer Emergency Readiness Team) indique en effet qu’Apple a cessé tout support sur cette version de QuickTime, ce que la firme n’a pas fait de manière officielle. L’équipe avertit d’ailleurs que deux failles ont été détectées et qu’elles ne seront pas corrigées.

Mieux vaut désinstaller tout de suite QuickTime

Ces deux brèches ont été détectées par la Zero Day Initiative de Google (ZDI-16-241 et ZDI-16-242). Elles sont de type corruption de mémoire et peuvent mener à une exécution de code arbitraire à distance, donc à l’installation potentielle de malwares sur les machines des internautes (dangerosité estimée à 6,8 sur 10). Trend Micro, qui rapporte également ces deux vulnérabilités, indique de son côté avoir reçu la confirmation d’Apple qu’elles ne seraient pas corrigées.

La fiche de l’US-CERT recommande clairement de désinstaller QuickTime. La procédure n’est d’ailleurs pas complexe, Apple possédant une page dédiée à la manipulation. Il suffit de se rendre dans la zone classique dédiée à la suppression des logiciels dans Windows et de sélectionner QuickTime 7.

Source: NextINpact.com par Vincent Hermann le 15/04/2016 à 10:55

VLC qd tu as ça tu n'as pas besoin de QuickTime.

Quick Time Alternative est concerné? (c'est juste la partie codec)
C'est à priori nécessaire pour importer des .mov dans virtualdubmod.

edit:
http://www.zerodayinitiative.com/advisories/ZDI-16-241/
http://www.zerodayinitiative.com/advisories/ZDI-16-242/

User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file.