Deux vulnérabilités, découvertes à quelques jours d'intervalle, frappent le logiciel musical d'Apple. La première ne concerne que Windows, n'est exploitable que localement et est déjà corrigée. La seconde, en revanche, toucherait tous les systèmes d'exploitation et n'est pas encore corrigée. Elle permettrait l'exécution de code à distance sur l'ordinateur de la victime.

au sommaire

    Logo de iTunes

    Logo de iTunes

    Sale temps pour iTunesiTunes ! Après la découverte - et la correction - d'une vulnérabilité spécifique à la version pour Windows il y a tout juste quelques jours, voilà que le logiciel musical d'AppleApple serait victime d'une autre faille, cette fois-ci plus grave et universelle.

    Selon la société eEye, la nouvelle vulnérabilité permettrait l'exécution de code à distance avec les droits de l'utilisateur connecté. Cela équivaut à une prise de contrôle pure et simple du système, tout particulièrement sous Windows. Sous MacOS X l'authentification obligatoire avant de réaliser certaines opérations, même pour l'administrateur, pourrait mitiger l'impact d'une telle attaque. Mais il est bien sûr impossible d'en être certain avant de connaître les détails de cette vulnérabilité.

    Et des détails, justement, il n'y en a pas. La société eEye, à l'origine de la découverte, se contente pour l'instant d'annoncer l'existence de la faille et sa gravitégravité.

    Pour se protéger en attendant d'en savoir plus, il peut être nécessaire d'interdire tout contact d'iTunes avec l'extérieur (depuis le pare-feupare-feu, bien sûr, mais aussi en désactivant les fonctions de recherche de librairies musicales, de partage et de connexion aux hauts-parleurs distants via une borne Airport Express le cas échéant).