actualité
 L'actualité informatique et multimédia
 QuickTime : une faille critique ouvre une porte dans Windows
 C'est décidément la porte ouverte à toutes les fenêtres
Apple

Une nouvelle faille critique a été découverte dans le lecteur multimédia d’Apple, QuickTime. Bien que ce soit le lecteur dans son ensemble qui soit concerné, il apparaitrait que seule la version Windows serait concernée, mais l’information reste à confirmer.

Le problème survient quand le logiciel tente une connexion RTSP avec un serveur dont le port TCP 554 est fermé. Pour contourner le problème, QuickTime essaye de se connecter au serveur via le port 80 avec le protocole HTTP. Si le serveur renvoie un message d’erreur, ce dernier sera publié avec tous ses détails dans la barre d’état de QuickTime.
 
Symantec, qui a confirmé la faille, indique que le problème peut créer un dépassement de mémoire tampon, pouvant être exploité pour exécuter arbitrairement du code. La firme de sécurité fournit un scénario en quatre étapes :
  1. Un pirate pourrait créer une page web spécialement conçue pour diffuser un code d’erreur qui serait interprété par QuickTime pour provoquer certaines actions sur la machine
  2. Le pirate possède lui-même un serveur RTSP qui bloque le port 554 et utilise des fichiers malveillants pour les réponses http
  3. Le pirate amène un utilisateur à se servir de QuickTime dans un scénario potentiellement profitable
  4. Dans le pire des cas, la réponse http donnée à QuickTime ouvre une porte pour une exécution directe d’un code distant sur l’ensemble du système.
Apple a corrigé relativement souvent son logiciel l’année dernière. Il faut désormais attendre une mise à jour supplémentaire.

Rédigée par le vendredi 11 janvier 2008 à 12h07 (16708 lectures)
Source de l'INformation : eWeek
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news

Il y a 157 commentaires dont 157 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

24 décembre 2007   Apple : un correctif du correctif de sécurité
19 décembre 2007   Failles de sécurité 2007 : Mac OS X dépasse de loin Windows
18 décembre 2007   Apple met à jour la sécurité de Tiger et Leopard
16 novembre 2007   Mac OS X 10.5.1 : la première mise à jour de Leopard (MAJ)
15 novembre 2007   Safari bêta pour Windows : une avalanche de bugs en moins
15 novembre 2007   Mac OS X 10.4.11 : l'ultime feulement de Tiger
08 novembre 2007   Leopard : future version 10.5.1 et problèmes avec Skype
31 octobre 2007   Leopard : sévérité sur certains composants de sécurité

Recherches relatives : apple - quicktime windows - faille critique - RTSP