Ce problème résulte d’un débordement de tampon présent au niveau du traitement d’une réponse RTSP avec une entête « Content-Type » excessivement longue, ce qui pourrait être exploité par des attaquants afin d’exécuter des commandes arbitraires en incitant un utilisateur à visiter une page Web spécialement conçue.
Cette faille concerne les versions les plus récentes de Quick Time, la 7.2 et la 7.3 (les versions précédentes sont également susceptibles d’être touchées par cette vulnérabilité).
Selon le FrSirt, elle est rapidement passée du statut de POC (Proof of concept) à celui de code exploitable. Pour l’instant, seules les versions Quick Time pour Windows sont susceptibles d’être touchées.
L’information a également été confirmée par l’US-CERT (United States Computer Emergency Readiness Team), le service de sécurité informatique du Département de la Sécurité intérieure des États-Unis. Ce qui illustre la dangerosité de cette faille.
Selon l’US Cert : les utilisateurs concernés et les administrateurs de réseau peuvent arrêter le support du protocole RSTP (ndlr : Quick Time Control Panel / Preference Panel/ File Types / Advanced -> MIME Settings et décocher l’option stream RSTP dans l’option Streaming Movie Option)
À la rédaction de cette actualité, Apple n’avait toujours pas publié de correctifs.
Plus d’informations sont disponibles sur ces deux liens:
– FrSirt
– US Cert
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…