Apple a publié une mise à jour de sécurité QuickTime corrigeant huit vulnérabilités. Sept d’entre elles pourraient être exploitées pour exécuter du code à distance.
La mise à jour concerne le logiciel QuickTime pour Mac OS 10.3.9, 10.4.9 ou une version ultérieure, ainsi que pour Windows XP et Vista.
Sept des vulnérabilités permettent l’exécution de code à distance, ce qui signifie que si un pirate aprvient à utiliser les instructions qui permettent l’exploitation de la faille (exploit en anglais), il pourrait installer un programme malveillant ou de prendre le contrôle d’un système cible.
Le French Security Incident Response Team (FrSIRST) a classé la mise à jour comme ‘critique’, son plus haut niveau d’alerte. Quant au service danois de veille de sécurité IT Secunia , il considère cette mise à jour comme ‘hautement critique’, son quatrième niveau d’alerte sur cinq.
Apple avait apparemment pris connaissance de certaines de ces failles l’année dernière. Le chercheur en sécurité Tom Ferris, à qui est attribuée la découverte de deux de ces failles, a notifié la première à l’éditeur en avril 2006 et la seconde en novembre 2006.
Apple a pour politique de ne pas reconnaître publiquement une vulnérabilité avant la mise à disposition de son correctif.
Quatre des vulnérabilités d’exécution de code à distance affectent les composants Java de QuickTime. Trois permettent à un pirate d’exécuter du code arbitraire, la quatrième d’obtenir une image de l’ordinateur cible.
Toutes ces vulnérabilités sont exploitées au moyen d’un applet Java exécuté à partir d’une page Web.
QuickTime est un composant système de Mac OS depuis 1991. Il est également fourni comme un composant du lecteur média iTunes d’Apple voire un élément rattaché aux systèmes d’exploitation Windows.
De manière récurrente, les experts en sécurité mettent en garde contre l’adoption massive de QuickTime, devenu une cible populaire pour les auteurs de programmes malveillants.
L’éditeur de solutions de sécurité F-Secure a attiré l’attention sur le logiciel de piratage MPack, qui a été utilisé le mois dernier pour lancer les attaques oeitalian Job’, qui comprend également du code exploit pour les failles QuickTime.
La mise à jour QuickTime est disponible via l’outil de mise à jour logicielle d’Apple ou peut être téléchargée sur le site de support d’Apple.
Traduction d’un article de Vnunet.com en date du 13 juillet 2007
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…