Sécurité : faille 0-day pour Quicktime

Un hacker a publié cette semaine les modalités d'exploitation d'une faille affectant les logiciels Quicktime et iTunes, mis à jour il y a environ une semaine par Apple. Cette vulnérabilité tient au paramètre , qui ne gèrerait pas correctement les chaînes de caractères à partir du moment où celles-ci sont trop longues. Par ce biais, il serait possible de provoquer un dépassement de mémoire tampon, en faisant lire à Quicktime un contenu préalablement modifié, y compris lorsque le logiciel est appelé sous forme de plug-in par un navigateur Web comme Internet Explorer ou Firefox ou lorsque ses composants sont utilisés par une application tierce comme iTunes.

L'effet immédiat serait dans la plupart des cas la fermeture inopinée du logiciel concerné, mais il serait possible à un pirate d'intégrer au sein d'un fichier vidéo un pan de code qui pourrait alors être exécuté localement sur la machine de l'utilisateur, sans aucune intervention de ce dernier.

Bien que les modalités d'exploitation aient été publiées sur un site spécialisé, le risque parait relativement minime aux différents éditeurs en sécurité qui se sont fait l'écho de cette faille. Les plus anxieux pourront toutefois désactiver le plug-in Quicktime de leur navigateur, en attendant qu'Apple sorte un correctif, afin de ne pas risquer d'être infecté par un contenu diffusé sur le Web.