Une faille très sérieuse touche iTunes et QuickTime, deux logiciels édités par Apple. Le problème touche le protocole RTSP utilisé par les deux applications pour lire du contenu multimédia en streaming (lecture continue depuis une source distante).

La faille a été découverte par Krystian Kloskowski et publiée sur le site de l’US Computer Emergency Readiness Team. Elle réside dans les descripteurs de contenus qui peuvent être utilisés de manière malveillante pour provoquer un dépassement de mémoire tampon sur la machine de l’utilisateur. Une fois ce dépassement autorisé, des commandes arbitraires sont exécutables à distance.

Il n’existe pas encore de mise à jour pour corriger le problème et il faut donc attendre qu’Apple s’occupe du souci. En attendant, la solution recommandée est de bloquer une trentaine de ports de communication sur le routeur ou dans le pare-feu :

• Port TCP 554
• Ports UDP : de 6970 à 6999

Plus globalement l’US-CERT recommande d’éviter les liens utilisant le protocole RTSP jusqu’à ce qu’une solution soit fournie. Le site précise d’ailleurs que la version Server de QuickTime est également touchée.