La vulnérabilité 0 Day qui cible les utilisateurs de MySpace via une faille dans QuickTime, le lecteur de la marque à la pomme pose problème.
Le site communautaire MySpace.com vient de rappeler à l’ordre le géant américain Apple et demande à ce que la faille dans son logiciel soit corrigée le plus rapidement possible.
Cette demande arrive deux jours après la découverte d’un ver qui se propage sur le réseau sous la forme d’un fichier QuickTime corrompu. Ce dernier occasionne des changements dans les profils des utilisateurs de MySpace.
Selon les experts en sécurité informatique, ce ver se répand rapidement car QuickTime supporte le code JavaScript. Rappelons qu’une fonction QuickTime, nommée le ‘HREF track’, peut obliger le lecteur à utiliser des commandes JavaScript pour charger des pages Web dans une fenêtre classique ou un moteur de recherche.
Pour Hemanshu Nigam, chef de la sécurité de MySpace, « dès la découverte de cette menace, nous avons contacté Apple pour que le groupe propose rapidement un correctif. »
L’action du ver sur les comptes des utilisateurs de MySpace est assez radicale. Ce dernier est dissimulé dans une vidéo au format Quick Time se place automatiquement sur la page de l’utilisateur qui a visionné la vidéo infectée et remplace les liens disponibles dans le profil de l’usager par des liens vers des URL frauduleuses de phishing ou hameçonnage.
Ce code propage aussi des spams qui contiennent en réalité un lien vers un site qui héberge du ‘adware’ de la société Zango, ex 180 solutions, une société bien connue de la justice.
Ce bout de programme malveillant surnommé Quickspace, par l’éditeur finlandais F-Secure, aurait déjà infecté un grand nombre d’utilisateurs de MySpace.
« Pour l’instant, Apple travaille encore sur le problème, mais aucun remède n’a été publié » a déclaré un porte-parole d’Apple.
Selon ce dernier : « La découverte de cet exploit est récente cependant nous avons déjà annoncé une méthode pour supprimer la fonctionnalité utilisée par le ver, du moins pour les utilisateurs d’Internet Explorer. Maintenant, nous travaillons sur une solution plus globale. »
En attendant une publication de la firme de Cupertino, MySpace a bloqué les liens Web qui tentent d’exploiter le bug.
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…