iTunes: Une faille dans le Juke-box d’Apple Aurélien Cabezon le 17 janvier 2005 à 18h52, dans la rubrique Menaces Commentaires fermés sur iTunes: Une faille dans le Juke-box d’Apple failleitunes Une vulnérabilité jugée critique a été découverte dans iTunes, le Juke-box d’ Apple. Cette faille pourrait permettre à un individu mal intentionné d’exécuter du code arbitraire sur la machine de la victime par l’intermédiaire d’un fichier piégé. La nouvelle version d’iTunes corrige le problème de sécurité. C’est la mauvaise gestion des fichiers » playlists » .pls et .m3u qui est à l’origine de ce problème de sécurité. De type » buffer overflow » (dépassement de mémoire tampon), l’exploitation de cette faille pourrait permettre à un assaillant, par l’intermédiaire d’un fichier » playlists » piégé, d’exécuter du code arbitraire sur la machine de la victime. Ce fichier, habillement » bidouillé « , pourrait être déposé sur un site Internet tiers pour être téléchargé puis exécuté ou tout simplement envoyé par email. Il n’est pas à exclure qu’un » ver » puisse exploiter cette faiblesse et s’en servir comme vecteur de contamination. En mai 2004 , Eeye découvrait également une faille dans le logiciel iTunes. A l’époque, c’était l’extension QuickTime qui était la source du problème. La vulnérabilité était similaire à celle décrite aujourd’hui puisqu’elle permettait l’exécution arbitraire de code à travers un fichier QuickTime piégé. Hier, deux » exploits » permettant de tirer profit de la faille ont été rendus publiques. Il est fortement recommandé de mettre à jour votre version de iTunes. Apple a mis à disposition sur son site Internet la version 4.7.1 qui corrige la faille. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!