Faille critique dans iTunes/Quicktime

Une faille qui touche les logiciels multimédias iTunes et Quicktime a été mise sous les projecteurs mercredi dernier. La faille qualifiée d'importante permettrait d'exécuter du code arbitraire, simplement en lançant la lecture d'un fichier vidéo .mov modifié via Quicktime ou iTunes.

Sur le site Security Protocols, un exemple de fichier .mov ainsi modifié a été publié. Ce fichier plante les deux logiciels d'Apple simplement pour « illustrer » le fait qu'il est possible de manipuler la mémoire via ce type de fichier. Pour des raisons de sécurité, les détails de la manoeuvre pour créer le fichier en question n'ont pas été publiées.

La faille touche les versions Windows / Mac OS X de Quicktime et d'iTunes. eEye a Digital Security précise sur ses pages que Quicktime est aussi touché par trois autres failles dangereuses. Apple serait actuellement en train de travailler sur un correctif. En attendant, il est déconseillé d'ouvrir les fichiers .mov provenant d'une source inconnue.