Le juke-box d'Apple digère mal les listes de lecture un peu trop longues. En publiant une telle "playlist" piégée, un pirate pourrait prendre le contrôle du PC ou du Mac de sa victime et y installer ce qu'il souhaite. La faille est jugée extrêmement critique : deux exploits viennent d'être publiés, qui permettraient l'ouverture d'un port sur les victimes ou l'exécution d'un interpréteur de commandes.

au sommaire

    iTunes et la musique piégée

    iTunes et la musique piégée

    La faille découverte dans le juke-box numérique d'AppleApple n'a rien d'original : il s'agit d'un vulgaire dépassement de mémoire comme il en existe des milliers. À ceci près qu'elle est exploitable sur Mac et PC, pour une fois égaux devant les ennuis. Il suffit pour cela de donner au juke-box d'Apple une simple liste de lecture un peu trafiquée (un fichier au format .m3u ou .pls). Un lien InternetInternet un peu trop long dissimulé dans le fichier provoquera alors le plantage d'iTunesiTunes et permettra d'exécuter un code au choix du pirate.

    Toutes les versions du programme jusqu'à la 4.7 sont vulnérables. La version 4.7.1 corrige le problème. Elle est disponible sur Mac via la fonction de mise à jour des logicielslogiciels et sur PC en téléchargement depuis le site d'Apple. Enfin, il est aussi possible de se protéger d'une telle attaque en jetant un oeil aux listes de lecture avant de les ouvrir avec iTunes. Toute adresse internet particulièrement longue révélera alors le piège.