Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Apple Quicktime une nouvelle fois faillible

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Apple Quicktime une nouvelle fois faillible

Tom Ferris, Mike Price (McAfee Avert) et Fang Xing (eEye) sont à l’origine de la découverte de plusieurs vulnérabilités critiques affectant QuickTime, le lecteur multimédia d’Apple. Un correctif est disponible, son installation est conseillée.


Neuf ! C’est le nombre de failles qui ont été récemment annoncées par les trois chercheurs en sécurité informatique Tom Ferris, Mike Price (McAfee Avert) et Fang Xing (eEye). Chacune des vulnérabilités découvertes pourrait permettre l’exécution de code arbitraire à distance. Inutile donc de préciser le caractère critique de l’alerte.

Les failles sont localisées dans différents composants de QuickTime. Cependant, elles exploitent toutes un défaut dans la visualisation de certains types de fichiers comme les images JPEG, FlashPix, PICT, BMP ou les vidéos QuickTime, H.264, MPEG4 ou AVI.

En somme et d’une manière générale, l’exploitation des neuf vulnérabilités revient à créer un fichier piégé et pousser un internaute à le lire pour que le code embarqué (payload) soit exécuté à son insu. Le fichier peut donc être placé sur un site Internet, envoyé par email ou même partagé à travers les réseaux peer-to-peer. Attention où vous cliquez …

Les versions QuickTime 4.x, 5.x, 6.x et 7.x pour Mac OS X et Microsoft Windows sont affectées par les trouvailles des trois experts. La version 7.1 qu’Apple vient de mettre à disposition (le 11 Mai dernier) fixe ces problèmes de sécurité. Il est vivement conseillé d’installer cette dernière mouture de Quicktime pour vous prémunir de tout code malicieux (présent et à venir) exploitant l’une de ces vulnérabilités.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.