Vulnérabilités

Failles iTunes : et de deux !

Par Jerome Saiz, le 18 nov 2005 à 16:59:00.

Vulnérabilités

Deux vulnérabilités, découvertes à quelques jours d'intervalle, frappent le logiciel musical d'Apple. La première ne concerne que Windows, n'est exploitable que localement et est déjà corrigée. La seconde, en revanche, toucherait tous les systèmes d'exploitation et n'est pas encore corrigée. Elle permettrait l'exécution de code à distance sur l'ordinateur de la victime.

Sale temps pour iTunes ! Après la découverte -et la correction- d'une vulnérabilité spécifique à la version pour Windows il y a tout juste quelques jours, voilà que le logiciel musical d'Apple serait victime d'une autre faille, cette fois-ci plus grave et universelle.
Selon la société eEye, la nouvelle vulnérabilité permettrait l'exécution de code à distance avec les droits de l'utilisateur connecté. Cela équivaut à une prise de contrôle pure et simple du système, tout particulièrement sous Windows. Sous MacOS X l'authentification obligatoire avant de réaliser certaines opérations, même pour l'administrateur, pourrait mitiger l'impact d'une telle attaque. Mais il est bien sûr impossible d'en être certain avant de connaître les détails de cette vulnérabilité.
Et des détails, justement, il n'y en a pas. La société eEye, à l'origine de la découverte, se contente pour l'instant d'annoncer l'existence de la faille et sa gravité.
Pour se protéger en attendant d'en savoir plus, il peut être nécessaire d'interdire tout contact d'iTunes avec l'extérieur (depuis le pare-feu, bien sûr, mais aussi en désactivant les fonctions de recherche de librairies musicales, de partage et de connexion aux hauts-parleurs distants via une borne Airport Express le cas échéant).

Plus d'information

La pré-alerte de eEye (en anglais)
L'alerte officielle d'Apple pour la première vulnérabilité (Windows seulement, et en anglais)

iTunes et la musique piégée. (15 jan 2005)
Bind de nouveau vulnérable. (13 nov 2002)
Kerberos : attention à vos utilisateurs ! (04 avril 2007)
Faille WMF : l'état des lieux (01 jan 2006)
Faille majeure pour Snort (19 oct 2005)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres

Vulnérabilités

Failles iTunes : et de deux !

Plus d'information

A voir aussi

Cartes blanches

espace partenaires

Livres Blancs

Guides