Apple corrige deux nouvelles failles dans QuickTime

Apple a publié une mise à jour de sécurité corrigeant deux vulnérabilités dans son lecteur multimédia QuickTime.

Les versions Mac OS X et Windows du logiciel sont toutes deux affectées. Les failles peuvent aboutir à la divulgation non intentionnelle d’informations ou à une exécution de code arbitraire à distance.

Le premier correctif répare une faille au niveau du traitement des applets JavaScript permettant l’exécution de code à distance.

La faille dans le programme non corrigée (exploit en anglais) se produit lorsqu’un pirate dirige l’utilisateur vers une page Web contenant une applet Java spécialement programmée. La mise à jour permet au logiciel de vérifier et de prévenir le lancement de code malveillant.

La seconde vulnérabilité touche également le composant Java de QuickTime. Apple a indiqué que les versions non corrigées de QuickTime étaient incapables d’effacer la mémoire du navigateur, permettant ainsi à un applet Java malveillante de saisir toutes les informations qui y sont stockées.

La mise à jour d’Apple oblige QuickTime à effacer la mémoire avant l’exécution possible d’un applet douteux.

Les utilisateurs de Windows peuvent télécharger la mise à jour sur le site de support d’Apple. Pour les utilisateurs de Mac, la mise à jour est disponible via le composant OS X Software Update.

Les failles JavaScript étaient également au coeur de la dernière mise à jour de QuickTime. Ce correctif avait été publié 11 jours après qu’un chercheur indépendant ait découvert et développé un exploit pour une faille QuickTime en moins de 12 heures.

A la fin de l’année dernière, une faille QuickTime avait été utilisée
pour lancer une importante attaque par phishing sur MySpace.

Traduction d’un article de Vnunet.com en date du 30 mai 2007