Ce mois-ci se déroule un évènement extrêmement controversé dans le monde de la sécurité : le Month of Apple Bugs (le mois des bugs Apple). Le but est très simple : un groupe de hackers va publier des failles de sécurité des logiciels Apple sur une base journalière, et ce pendant tout le mois de janvier.

On déduit facilement que cette perspective n’enchante absolument pas Apple. L’éditeur se montre en effet particulièrement discret sur les problèmes de sécurité, en publiant cependant des correctifs de manière rapide. Toutefois, le groupe de hackers a déjà commencé son travail en publiant une description une première faille.

Heureusement pour Apple, le descriptif manque volontairement de détails. Pas question bien entendu de permettre au premier venu de profiter de failles exposées. La faille dont il est question concerne QuickTime, aussi bien dans sa version Windows que sa version Mac OS X. il existe un problème dans la gestion des adresses de type « rtsp:// ». Avec une adresse spécialement conçue, il est possible de tromper QuickTime et de mener le logiciel à un dépassement de mémoire tampon (buffer overflow), ouvrant la voie à une exécution de code arbitraire à distance.

La faille peut être exploitée par des liens HTML, du JavaScript ou encore des fichiers de type QTL. LMH, l’un des hackers, indique que l’exploitation de la faille est assez « triviale » et que même les protections matérielles contre les dépassements de mémoire tampon ne fonctionnent pas. La dernière version 7.1.3 de QuickTime est concernée, ainsi que les versions antérieures.

Le groupe de hackers recommande la désactivation des adresses de type « rstp:// » ou la désinstallation de QuickTime.