iTunes: Une faille dans le Juke-box d�Apple

Une vuln�rabilit� jug�e critique a �t� d�couverte dans iTunes, le Juke-box d� Apple.

Cette faille pourrait permettre � un individu mal intentionn� d�ex�cuter du code arbitraire sur la machine de la victime par l�interm�diaire d�un fichier pi�g�. La nouvelle version d�iTunes corrige le probl�me de s�curit�.

C�est la mauvaise gestion des fichiers � playlists � .pls et .m3u qui est � l�origine de ce probl�me de s�curit�.
De type � buffer overflow � (d�passement de m�moire tampon), l�exploitation de cette faille pourrait permettre � un assaillant, par l�interm�diaire d�un fichier � playlists � pi�g�, d�ex�cuter du code arbitraire sur la machine de la victime.

Ce fichier, habillement � bidouill� �, pourrait �tre d�pos� sur un site Internet tiers pour �tre t�l�charg� puis ex�cut� ou tout simplement envoy� par email. Il n�est pas � exclure qu�un � ver � puisse exploiter cette faiblesse et s�en servir comme vecteur de contamination.

En mai 2004, Eeye d�couvrait �galement une faille dans le logiciel iTunes. A l��poque, c��tait l�extension QuickTime qui la source du probl�me.
La vuln�rabilit� �tait similaire � celle d�crite aujourd�hui puisqu�elle permettait l�ex�cution arbitraire de code � travers un fichier QuickTime pi�g�.

Hier, deux � exploits � permettant de tirer profit de la faille ont �t� rendus publiques.
Il est fortement recommand� de mettre � jour votre version de iTunes. Apple a mis � disposition sur son site Internet la version 4.7.1 qui corrige la faille.

Post� le: Mar Jan 18, 2005 17:21 Sujet du message:

Ouf j'ai pas d'apple ni de ipod.
Mais j'ai microsoft c'est pire lol.
_________________
L'erreur est humaine mais le pardon est divin.

ath�na exclamation!!!