C’est la mauvaise gestion des fichiers « playlists » .pls et .m3u qui est à l’origine de ce problème de sécurité. De type « buffer overflow » (dépassement de mémoire tampon), l’exploitation de cette faille pourrait permettre à un assaillant, par l’intermédiaire d’un fichier « playlists » piégé, d’exécuter du code arbitraire sur la machine de la victime.
Ce fichier, habillement « bidouillé », pourrait être déposé sur un site Internet tiers pour être téléchargé puis exécuté ou tout simplement envoyé par email. Il n’est pas à exclure qu’un « ver » puisse exploiter cette faiblesse et s’en servir comme vecteur de contamination.
En mai 2004, Eeye découvrait également une faille dans le logiciel iTunes. A l’époque, c’était l’extension QuickTime qui était la source du problème. La vulnérabilité était similaire à celle décrite aujourd’hui puisqu’elle permettait l’exécution arbitraire de code à travers un fichier QuickTime piégé.
Hier, deux « exploits » permettant de tirer profit de la faille ont été rendus publiques. Il est fortement recommandé de mettre à jour votre version de iTunes. Apple a mis à disposition sur son site Internet la version 4.7.1 qui corrige la faille.
Flux Rss
Version PDF
Commenter 
Une vulnérabilité jugée critique a été découverte dans iTunes, le Juke-box d’ Apple. Cette faille pourrait permettre à un individu mal intentionné d’exécuter du code arbitraire sur la machine de la victime par l’intermédiaire d’un fichier piégé. La nouvelle version d’iTunes corrige le problème de sécurité. 
