iTunes et la musique piégée Jerome Saiz le 15 janvier 2005 à 19h46, dans la rubrique Menaces Commentaires fermés sur iTunes et la musique piégée itunesplaylistvulnérabilité Le juke-box d’Apple digère mal les listes de lecture un peu trop longues. En publiant une telle « playlist » piégée, un pirate pourrait prendre le contrôle du PC ou du Mac de sa victime et y installer ce qu’il souhaite. La faille est jugée extrêmement critique : deux exploits viennent d’être publiés, qui permettraient l’ouverture d’un port sur les victimes ou l’exécution d’un interpréteur de commandes. La faille découverte dans le juke-box numérique d’Apple n’a rien d’original : il s’agit d’un vulgaire dépassement de mémoire comme il en existe des milliers. A ceci près qu’elle est exploitable sur Mac et PC, pour une fois égaux devant les ennuis. Il suffit pour cela de donner au juke-box d’Apple une simple liste de lecture un peu trafiquée (un fichier au format .m3u ou .pls). Un lien Internet un peu trop long dissimulé dans le fichier provoquera alors le plantage d’iTunes et permettra d’exécuter un code au choix du pirate.Toutes les versions du programme jusqu’à la 4.7 sont vulnérables. La version 4.7.1 corrige le problème. Elle est disponible sur Mac via la fonction de mise à jour des logiciels et sur PC en téléchargement depuis le site d’Apple. Enfin, il est aussi possible de se protéger d’une telle attaque en jetant un oeil aux listes de lectures avant de les ouvrir avec iTunes. Toute adresse internet particulièrement longue révélera alors le piège. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!