Apple a publié une mise à jour de sécurité QuickTime corrigeant huit vulnérabilités. Sept d’entre elles pourraient être exploitées pour exécuter du code à distance.
La mise à jour concerne le logiciel QuickTime pour Mac OS 10.3.9, 10.4.9 ou une version ultérieure, ainsi que pour Windows XP et Vista.
Sept des vulnérabilités permettent l’exécution de code à distance, ce qui signifie que si un pirate aprvient à utiliser les instructions qui permettent l’exploitation de la faille (exploit en anglais), il pourrait installer un programme malveillant ou de prendre le contrôle d’un système cible.
Le French Security Incident Response Team (FrSIRST) a classé la mise à jour comme ‘critique’, son plus haut niveau d’alerte. Quant au service danois de veille de sécurité IT Secunia , il considère cette mise à jour comme ‘hautement critique’, son quatrième niveau d’alerte sur cinq.
Apple avait apparemment pris connaissance de certaines de ces failles l’année dernière. Le chercheur en sécurité Tom Ferris, à qui est attribuée la découverte de deux de ces failles, a notifié la première à l’éditeur en avril 2006 et la seconde en novembre 2006.
Apple a pour politique de ne pas reconnaître publiquement une vulnérabilité avant la mise à disposition de son correctif.
Quatre des vulnérabilités d’exécution de code à distance affectent les composants Java de QuickTime. Trois permettent à un pirate d’exécuter du code arbitraire, la quatrième d’obtenir une image de l’ordinateur cible.
Toutes ces vulnérabilités sont exploitées au moyen d’un applet Java exécuté à partir d’une page Web.
QuickTime est un composant système de Mac OS depuis 1991. Il est également fourni comme un composant du lecteur média iTunes d’Apple voire un élément rattaché aux systèmes d’exploitation Windows.
De manière récurrente, les experts en sécurité mettent en garde contre l’adoption massive de QuickTime, devenu une cible populaire pour les auteurs de programmes malveillants.
L’éditeur de solutions de sécurité F-Secure a attiré l’attention sur le logiciel de piratage MPack, qui a été utilisé le mois dernier pour lancer les attaques oeitalian Job’, qui comprend également du code exploit pour les failles QuickTime.
La mise à jour QuickTime est disponible via l’outil de mise à jour logicielle d’Apple ou peut être téléchargée sur le site de support d’Apple.
Traduction d’un article de Vnunet.com en date du 13 juillet 2007
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…