Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

iTunes: Une faille dans le Juke-box d’Apple

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur iTunes: Une faille dans le Juke-box d’Apple

Une vulnérabilité jugée critique a été découverte dans iTunes, le Juke-box d’ Apple. Cette faille pourrait permettre à un individu mal intentionné d’exécuter du code arbitraire sur la machine de la victime par l’intermédiaire d’un fichier piégé. La nouvelle version d’iTunes corrige le problème de sécurité.


C’est la mauvaise gestion des fichiers  » playlists  » .pls et .m3u qui est à l’origine de ce problème de sécurité. De type  » buffer overflow  » (dépassement de mémoire tampon), l’exploitation de cette faille pourrait permettre à un assaillant, par l’intermédiaire d’un fichier  » playlists  » piégé, d’exécuter du code arbitraire sur la machine de la victime.

Ce fichier, habillement  » bidouillé « , pourrait être déposé sur un site Internet tiers pour être téléchargé puis exécuté ou tout simplement envoyé par email. Il n’est pas à exclure qu’un  » ver  » puisse exploiter cette faiblesse et s’en servir comme vecteur de contamination.

En mai 2004 , Eeye découvrait également une faille dans le logiciel iTunes. A l’époque, c’était l’extension QuickTime qui était la source du problème. La vulnérabilité était similaire à celle décrite aujourd’hui puisqu’elle permettait l’exécution arbitraire de code à travers un fichier QuickTime piégé.

Hier, deux  » exploits  » permettant de tirer profit de la faille ont été rendus publiques. Il est fortement recommandé de mettre à jour votre version de iTunes. Apple a mis à disposition sur son site Internet la version 4.7.1 qui corrige la faille.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.