Une vulnérabilité dans les lecteurs multimedia iTunes et QuickTime d’Apple mettrait plusieurs millions de PC et de Mac en danger.
Selon le site Security-Protocols.com, des fichiers vidéo QuickTime piégés pourraient exploiter une faille qui subsiste sur les logiciels iTunes et QuickTime d’Apple Computer, et ce malgré les récentes mises à jour opérées par la firme de Cupertino.
Tom Ferris, de Security-Protocols.com, explique qu’Apple a été mis au courant du problème voici plus d’un mois, et n’a pour l’heure prodigué qu’un vague accusé de réception. La faille concerne toutes les versions Windows et Mac, passées et présentes, d’iTunes et de QuickTime.
Ferris a récemment dévoilé un fichier en ".mov" piégé qui entraînait une fermeture inopinée des deux logiciels incriminés ; ce faisant, notre homme s’est d’ailleurs attiré quelques inimitiés, même s’il se défend de vouloir publier l’intégralité du code qui autorise l’exploitation de cette faille. Il explique que le fichier trafiqué qu’il a présenté suffisait à prouver qu’un code malicieux pouvait occuper un espace mémoire supérieur à celui initialement alloué au programme, entraînant un classique ‘’heap overflow’’ (dépassement de mémoire, et conflit avec d’autres applications).
En réponse à ces allégations, la firme de sécurité informatique danoise Secunia a apposé à cette faille la mention ‘’modérément critique’’, expliquant que sans l’aide de l’utilisateur, cette vulnérabilité n’est pas exploitable. Il suffirait donc de ne pas lire de fichier ".mov" dont on ignore la provenance…
De son côté, eEye Digital remarque que si une exploitation est possible, et permettrait le cas échéant de lancer un programme exécutable à l’insu de l’utilisateur, ce dernier doit tout de même ouvrir le fichier piégé en question.
Pour mémoire, le mois dernier, Apple présentait une nouvelle déclinaison de son logiciel QuickTime sensée corriger plusieurs failles jugées ‘’hautement critiques’’ par la communauté informatique.
Selon le site Security-Protocols.com, des fichiers vidéo QuickTime piégés pourraient exploiter une faille qui subsiste sur les logiciels iTunes et QuickTime d’Apple Computer, et ce malgré les récentes mises à jour opérées par la firme de Cupertino.
Tom Ferris, de Security-Protocols.com, explique qu’Apple a été mis au courant du problème voici plus d’un mois, et n’a pour l’heure prodigué qu’un vague accusé de réception. La faille concerne toutes les versions Windows et Mac, passées et présentes, d’iTunes et de QuickTime.
Ferris a récemment dévoilé un fichier en ".mov" piégé qui entraînait une fermeture inopinée des deux logiciels incriminés ; ce faisant, notre homme s’est d’ailleurs attiré quelques inimitiés, même s’il se défend de vouloir publier l’intégralité du code qui autorise l’exploitation de cette faille. Il explique que le fichier trafiqué qu’il a présenté suffisait à prouver qu’un code malicieux pouvait occuper un espace mémoire supérieur à celui initialement alloué au programme, entraînant un classique ‘’heap overflow’’ (dépassement de mémoire, et conflit avec d’autres applications).
En réponse à ces allégations, la firme de sécurité informatique danoise Secunia a apposé à cette faille la mention ‘’modérément critique’’, expliquant que sans l’aide de l’utilisateur, cette vulnérabilité n’est pas exploitable. Il suffirait donc de ne pas lire de fichier ".mov" dont on ignore la provenance…
De son côté, eEye Digital remarque que si une exploitation est possible, et permettrait le cas échéant de lancer un programme exécutable à l’insu de l’utilisateur, ce dernier doit tout de même ouvrir le fichier piégé en question.
Pour mémoire, le mois dernier, Apple présentait une nouvelle déclinaison de son logiciel QuickTime sensée corriger plusieurs failles jugées ‘’hautement critiques’’ par la communauté informatique.
Source :
eWeek
