QuickTime victime de failles critiques
Des fichiers images malformés permettrait d’exploiter des vulnérabilités du lecteur QuickTime 7, sous Mac OS X comme sous Windows XP.
A l’heure où Steve Jobs met en avant la puissance de ses nouveaux Mac avec l’aide des processeurs Intel (voir édition du jour), le logiciel multimédia QuickTime est victime de cinq failles de sécurité. Celles-ci peuvent permettre à un attaquant d’exécuter à distance du code sur la machine faillible, sous les environnements Mac OS X (depuis la version v10.3.9) comme sous Windows 2000/XP, et autoriser le contrôle distant de l’ordinateur affecté. Dans ce cadre, elles sont donc jugées critiques.
Selon le message posté par Apple, les vulnérabilités en question touchent les images QTIF, TGA, Tiff et Gif. Malformés, ces fichiers permettraient d’exploiter des vulnérabilités applicatives (de type heap overflow, buffer overflow et integer overflow) pour prendre la main sur le système. Voilà qui n’est pas sans rappeler la faille WMF de Windows dans laquelle s’empêtre Microsoft (voir édition du 10 janvier 2006).
Mise à jour recommandée
Comme solution, Apple recommande simplement d’effectuer la mise à jour vers la version 7.0.4 de QuickTime que l’on pourra trouver sur la page des mises à jour sur le site d’Apple. Le fichier pèse 49 Mo.
Cette nouvelle version apporte par ailleurs des améliorations de performances sur le codec H.264 (utilisé pour la haute définition) et supporte la nouvelle version de iLife ’06 (pour les utilisateurs de Mac OS X, uniquement). Mise à jour doublement recommandée, donc.