MAJ: iTunes 6.0.5 (pb de sécurité !)

Le
Paul Gaborit
La mise à jour de iTunes vers sa version 6.0.5 vient de sortir. Le
descriptif donné par Apple dans l'outil de mise à jour ne parle que de
nouvelles fonctionnalités

Ce qui est marrant, c'est que quelques minutes plus tôt je venais de
recevoir une annonce du CERT qui disait :

iTunes 6.0.5 is now available and, in addition to its other content,
fixes the following security issue:

Available for: Mac OS X v10.2.8 or later, Windows XP / 2000

Impact: An integer overflow in iTunes could cause a denial of
service or lead to the execution of arbitrary code

Description: The AAC file parsing code in iTunes versions prior to
6.0.5 contains an integer overflow vulnerability. Parsing a
maliciously-crafted AAC file could cause iTunes to terminate or
potentially execute arbitrary code. iTunes 6.0.5 addresses this
issue by improving the validation checks used when loading AAC
files. Credit to ATmaCA working with TippingPoint and the Zero Day
Initiative for reporting this issue.

(en gros, pour ceux qui causent pas anglais, iTunes 6.0.5 corrige un
problème dans le décodage des fichiers AAC qui pourrait amener à
l'exécution d'un code embarqué dans un fichier AAC malicieux.)

Juste pour dire que cette mise à jour présentée comme anodine n'est en
fait pas du tout optionnelle !


--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>

  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
laurent.pertois
Le #1938207
Paul Gaborit
La mise à jour de iTunes vers sa version 6.0.5 vient de sortir. Le
descriptif donné par Apple dans l'outil de mise à jour ne parle que de
nouvelles fonctionnalités...


Parce qu'il faut plutôt lire la partie sécurité des MAJ :


Et le point d'entrée :


Enfin, pour avoir de la lecture régulièrement :


J'ai reçu le mail d'Apple Security hier au moment de la sortie d'iTunes
6.0.5 avec la même référence que tu cites et qui est citée sur la page
sécurité de la MAJ 6.0.5.

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

gilles
Le #1938206
Quant il y a des updates je les fais...

Ceci dit ça m'a vider l'iPod ( nano ) c'est normal ça...

Il n'y a pas un site sympa la dessus psk bêtement je patauge un peu...

J'ai dedans un livre audio qui est donc viré a chaque fois...

Les morceaux en podcast perdent leurs index...

Pour un truc qui parait si simple ça merde tout le temps...

Généralement le cadenas est fermé ??
JMGB
Le #1938194
Mac Larinett
In article Paul Gaborit

Juste pour dire que cette mise à jour présentée comme anodine n'est en
fait pas du tout optionnelle !


Merci de signaler ce point important, comme je n'ai rien à cirer du
gadget commis par Apple avec une société qui fait fabriquer ses godasses
par des gamins asiatiques j'avais effectivement ignoré cette mise à jour.


Ha! Toi aussi donc.
Je suis heureux de voir que je ne suis donc pas tout seul à être censé
around.

Il va bientôt falloir songer à changer de lecteur de MP3, c'est clair.


--
Le génie fait ce qu'il doit.
Le talent fait ce qu'il peut.
*Virer les minuscules pour me répondre*


laurent.pertois
Le #1938190
Mac Larinett
Il va bientôt falloir songer à changer de lecteur de MP3, c'est clair.
c'est fait :

http://www.macway.com/product_info.php?cPath=8_144_1291&products_idC21
Beaucoup moins cher, FM, dictaphone, extensible par cartes SD


Et quelle est la garantie offerte qu'il n'a pas lui aussi été construit
dans une usine à sueur ?

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.


Paul Gaborit
Le #1923518
À (at) Fri, 30 Jun 2006 19:30:06 +0200,
(Laurent Pertois) écrivait (wrote):
Parce qu'il faut plutôt lire la partie sécurité des MAJ :
[...]


Certes. Mais quels sont ceux qui s'inscrivent à de telles listes de
diffusion ou ceux qui vont chercher l'info sur le site d'Apple ?

Je pense qu'une simple note dans la description de la mise à jour eut
été correcte. Du genre : « Cette mise à jour corrige un problème
potentiel de sécurité lors de la lecture des fichiers AAC. » Ceux qui
veulent en savoir plus aurait eu alors le loisir d'aller chercher plus
loin.

--
Paul Gaborit -
laurent.pertois
Le #1923517
Paul Gaborit
À (at) Fri, 30 Jun 2006 19:30:06 +0200,
(Laurent Pertois) écrivait (wrote):
Parce qu'il faut plutôt lire la partie sécurité des MAJ :
[...]


Certes. Mais quels sont ceux qui s'inscrivent à de telles listes de
diffusion ou ceux qui vont chercher l'info sur le site d'Apple ?


Ben, les mêmes qui sont intéressés par la sécurité. Les autres, de
toutes manière, ne liraient pas forcément l'info.

Je pense qu'une simple note dans la description de la mise à jour eut
été correcte. Du genre : « Cette mise à jour corrige un problème
potentiel de sécurité lors de la lecture des fichiers AAC. » Ceux qui
veulent en savoir plus aurait eu alors le loisir d'aller chercher plus
loin.


Ah ok, comme ça, oui.

Feedback est ton ami.

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.


Publicité
Poster une réponse
Anonyme