La dernière mise à jour d’Apple sur QuickTime est une nouvelle démonstration d’une erreur par manque de réactivité d’un éditeur qui peut coûter très cher…
En effet, c’est en septembre 2006 que l’expert en sécurité Petko D. Petkov révélait pour la première fois l’existence de deux failles dans la version Windows de QuickTime (sous XP et Vista).
Très rapidement, Apple a corrigé l’un des failles. Mais la seconde, qui permet d’exécuter un code malicieux à l’ouverture d’un fichier QTL spécialement affecté, est restée ouverte.
Constatant l’absence de réactivité d’Apple, Petko Petkov s’est livré à un exercice périlleux mais hautement démonstratif, concevoir une preuve de concept (proof of concept) qui exploite la faille.
Et c’est là que l’on constate la gravité de l’affaire, car si un expert peut agir ainsi, un développeur mafieux peut faire de même – mais pas sur le modèle de la preuve de concept ! – et exploiter la faille connue de tous depuis si longtemps pour pénétrer les systèmes.
C’est d’ailleurs au vu de la preuve de concept que Mozilla a confirmé que sous Firefox, la faille dans QuickTime permettrait à un hacker mal intentionné d’ouvrir une porte béante (backdoor) sur le poste. L’éditeur a immédiatement modifié son navigateur pour se protéger de la menace.
En revanche, Apple a continué de jouer aux abonnés absents, jusqu’à ce mercredi où l’éditeur a enfin daigné corriger QuickTime.
Apple a également confirmé que la faille ne concerne pas son système d’exploitation Mac OS X, même sous Firefox. Dont acte, mais un an pour corriger une faille, Apple a fait très fort pour laisser ses utilisateurs courir un risque grave, même si officiellement la faille n’a pas été exploitée.
En parallèle de diverses expérimentations, Microsoft livre une première version de WSL2 basée sur Linux…
Le dernier rapport environnemental de Google comporte peu d'indicateurs spécifiques à l'IA. Quelles perspectives l'entreprise…
Booster les performances des forces de vente en fondant les processus commerciaux sur ce que…
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…