Après la récente publication d'une mise à jour de sécurité particulièrement bien fournies côté correctifs destinés à combler 25 vulnérabilités, la société de Steve Jobs fait une nouvelle fois parler d'elle sur ce même registre de la sécurité suite à la découverte d'une faille intéressant son lecteur multimédia QuickTime, dernière version en date (7.1.5) notamment (les versions antérieures sont également concernées).
Nul n'est infaillible
Outre la société danoise Secunia qui qualifie ladite vulnérabilité de hautement critique, le FrSIRT ( French Security Incident Response Team ) s'en fait également l'écho dans un bulletin d'alerte en précisant que cette dernière identifiée dans Apple QuickTime pourrait être exploitée à distance et résulte d'une erreur inconnue présente au niveau du traitement d'un code Java. Du code arbitraire pourrait ainsi être exécuté en incitant un utilisateur sous Mac OS X ou Windows à visiter via Safari ou Firefox, une page Web piégée.
Pour l'heure, pas de rapport faisant état d'un début d'exploitation de cette faille 0-day, exception faite toutefois de la démonstration opérée par un ami de son découvreur - un certain Dino Dai Zovi - dans le cadre d'un concours organisé par la société TippingPoint. Au cours de ce véritable challenge, deux MacBook dotés des dernières mises à jour de sécurité et connectés en réseau ont été soumis à " l'épreuve du feu " avec à la clé une récompense de 10 000 dollars pour qui arriverait à corrompre le système. Pari réussi donc pour Dino Dai Zovi qui empoche la mise, son camarade démonstrateur recevant en guise de récompense un MacBook.
En attendant la venue d'un correctif made in Apple, une solution évidente s'impose pour éviter tout risque, désactiver le support Java dans Safari et Firefox ou à défaut ne pas naviguer sur des sites peu sûrs.
Nul n'est infaillible
Outre la société danoise Secunia qui qualifie ladite vulnérabilité de hautement critique, le FrSIRT ( French Security Incident Response Team ) s'en fait également l'écho dans un bulletin d'alerte en précisant que cette dernière identifiée dans Apple QuickTime pourrait être exploitée à distance et résulte d'une erreur inconnue présente au niveau du traitement d'un code Java. Du code arbitraire pourrait ainsi être exécuté en incitant un utilisateur sous Mac OS X ou Windows à visiter via Safari ou Firefox, une page Web piégée.
Pour l'heure, pas de rapport faisant état d'un début d'exploitation de cette faille 0-day, exception faite toutefois de la démonstration opérée par un ami de son découvreur - un certain Dino Dai Zovi - dans le cadre d'un concours organisé par la société TippingPoint. Au cours de ce véritable challenge, deux MacBook dotés des dernières mises à jour de sécurité et connectés en réseau ont été soumis à " l'épreuve du feu " avec à la clé une récompense de 10 000 dollars pour qui arriverait à corrompre le système. Pari réussi donc pour Dino Dai Zovi qui empoche la mise, son camarade démonstrateur recevant en guise de récompense un MacBook.
En attendant la venue d'un correctif made in Apple, une solution évidente s'impose pour éviter tout risque, désactiver le support Java dans Safari et Firefox ou à défaut ne pas naviguer sur des sites peu sûrs.
