Faille critique pour le streaming dans QuickTime et iTunes

Une faille très sérieuse touche iTunes et QuickTime, deux logiciels édités par Apple. Le problème touche le protocole RTSP utilisé par les deux applications pour lire du contenu multimédia en streaming (lecture continue depuis une source distante).

La faille a été découverte par Krystian Kloskowski et publiée sur le site de l’US Computer Emergency Readiness Team. Elle réside dans les descripteurs de contenus qui peuvent être utilisés de manière malveillante pour provoquer un dépassement de mémoire tampon sur la machine de l’utilisateur. Une fois ce dépassement autorisé, des commandes arbitraires sont exécutables à distance.

Il n’existe pas encore de mise à jour pour corriger le problème et il faut donc attendre qu’Apple s’occupe du souci. En attendant, la solution recommandée est de bloquer une trentaine de ports de communication sur le routeur ou dans le pare-feu :

• Port TCP 554
• Ports UDP : de 6970 à 6999

Plus globalement l’US-CERT recommande d’éviter les liens utilisant le protocole RTSP jusqu’à ce qu’une solution soit fournie. Le site précise d’ailleurs que la version Server de QuickTime est également touchée.

Source : US-CERT

Vincent Hermann le 26 novembre 2007 à 16:41 (13 367 lectures)

Tweeter

• 19 / 09 / 2007 : Firefox 2.0.0.7 corrige une faille critique liée à QuickTime
• 01 / 06 / 2007 : iTunes : des morceaux sans DRM, mais pas sans traces
• 21 / 05 / 2007 : Secunia : attention aux logiciels qui ne sont pas à jour !
• 02 / 05 / 2007 : QuickTime 7.1.6 et mises à jour de sécurité pour Mac OS X
• 25 / 01 / 2007 : Sécurité : Apple met à jour son logiciel QuickTime
• 02 / 03 / 2006 : Une pluie de mises à jour chez Apple
• 24 / 02 / 2006 : La faille de Safari sous MacOS X déjà exploitée
• 21 / 11 / 2005 : Une faille dans iTunes, une autre dans Quicktime

Actu Précédente Actu Suivante