Apple Quicktime une nouvelle fois faillible

Sécurité

Tom Ferris, Mike Price (McAfee Avert) et Fang Xing (eEye) sont à l’origine de la découverte de plusieurs vulnérabilités critiques affectant QuickTime, le lecteur multimédia d’Apple. Un correctif est disponible, son installation est conseillée

Neuf ! C’est le nombre de failles qui ont été récemment annoncées par les trois chercheurs en sécurité informatique Tom Ferris, Mike Price (McAfee Avert) et Fang Xing (eEye). Chacune des vulnérabilités découvertes pourrait permettre l’exécution de code arbitraire à distance. Inutile donc de préciser le caractère critique de l’alerte.

Les failles sont localisées dans différents composants de QuickTime. Cependant, elles exploitent toutes un défaut dans la visualisation de certains types de fichiers comme les images JPEG, FlashPix, PICT, BMP ou les vidéos QuickTime, H.264, MPEG4 ou AVI. En somme et d’une manière générale, l’exploitation des neuf vulnérabilités revient à créer un fichier piégé et pousser un internaute à le lire pour que le code embarqué (payload) soit exécuté à son insu. Le fichier peut donc être placé sur un site Internet, envoyé par email ou même partagé à travers les réseaux peer-to-peer. Attention où vous cliquez ? Les versions QuickTime 4.x, 5.x, 6.x et 7.x pour Mac OS X et Microsoft Windows sont affectées par les trouvailles des trois experts. La version 7.1 qu’Apple vient de mettre à disposition (le 11 mai dernier) fixe ces problèmes de sécurité. Il est vivement conseillé d’installer cette dernière mouture de Quicktime pour vous prémunir de tout code malicieux (présent et à venir) exploitant l’une de ces vulnérabilités.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur