Sécurité : faille 0-day pour Quicktime

Alexandre Laurent
Publié le 19 septembre 2008 à 10h52
00054312-photo-logo-quicktime.jpg
Un hacker a publié cette semaine les modalités d'exploitation d'une faille affectant les logiciels Quicktime et iTunes, mis à jour il y a environ une semaine par Apple. Cette vulnérabilité tient au paramètre , qui ne gèrerait pas correctement les chaînes de caractères à partir du moment où celles-ci sont trop longues. Par ce biais, il serait possible de provoquer un dépassement de mémoire tampon, en faisant lire à Quicktime un contenu préalablement modifié, y compris lorsque le logiciel est appelé sous forme de plug-in par un navigateur Web comme Internet Explorer ou Firefox ou lorsque ses composants sont utilisés par une application tierce comme iTunes.

L'effet immédiat serait dans la plupart des cas la fermeture inopinée du logiciel concerné, mais il serait possible à un pirate d'intégrer au sein d'un fichier vidéo un pan de code qui pourrait alors être exécuté localement sur la machine de l'utilisateur, sans aucune intervention de ce dernier.

Bien que les modalités d'exploitation aient été publiées sur un site spécialisé, le risque parait relativement minime aux différents éditeurs en sécurité qui se sont fait l'écho de cette faille. Les plus anxieux pourront toutefois désactiver le plug-in Quicktime de leur navigateur, en attendant qu'Apple sorte un correctif, afin de ne pas risquer d'être infecté par un contenu diffusé sur le Web.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles