La mise à jour, qui concerne les versions Mac OS et Windows du lecteur multimédia d'Apple, corrige huit vulnérabilités critiques.

La mise à jour, qui concerne les versions Mac OS et Windows du lecteur multimédia d'Apple, corrige huit vulnérabilités critiques.

Apple a publié une mise à jour de sécurité QuickTime corrigeant huit vulnérabilités. Sept d'entre elles pourraient être exploitées pour exécuter du code à distance.

La mise à jour concerne le logiciel QuickTime pour Mac OS 10.3.9, 10.4.9 ou une version ultérieure, ainsi que pour Windows XP et Vista.

Sept des vulnérabilités permettent l'exécution de code à distance, ce qui signifie que si un pirate aprvient à utiliser les instructions qui permettent l'exploitation de la faille (exploit en anglais), il pourrait installer un programme malveillant ou de prendre le contrôle d'un système cible.

Le French Security Incident Response Team (FrSIRST) a classé la mise à jour comme «critique», son plus haut niveau d'alerte. Quant au service danois de veille de sécurité IT Secunia , il considère cette mise à jour comme «hautement critique», son quatrième niveau d'alerte sur cinq.

Apple avait apparemment pris connaissance de certaines de ces failles l'année dernière. Le chercheur en sécurité Tom Ferris, à qui est attribuée la découverte de deux de ces failles, a notifié la première à l'éditeur en avril 2006 et la seconde en novembre 2006.

Apple a pour politique de ne pas reconnaître publiquement une vulnérabilité avant la mise à disposition de son correctif.

Quatre des vulnérabilités d'exécution de code à distance affectent les composants Java de QuickTime. Trois permettent à un pirate d'exécuter du code arbitraire, la quatrième d'obtenir une image de l'ordinateur cible.

Toutes ces vulnérabilités sont exploitées au moyen d'un applet Java exécuté à partir d'une page Web.

QuickTime est un composant système de Mac OS depuis 1991. Il est également fourni comme un composant du lecteur média iTunes d'Apple voire un élément rattaché aux systèmes d'exploitation Windows.

De manière récurrente, les experts en sécurité mettent en garde contre l'adoption massive de QuickTime, devenu une cible populaire pour les auteurs de programmes malveillants.

L'éditeur de solutions de sécurité F-Secure a attiré l'attention sur le logiciel de piratage MPack, qui a été utilisé le mois dernier pour lancer les attaques «Italian Job», qui comprend également du code exploit pour les failles QuickTime.

La mise à jour QuickTime est disponible via l'outil de mise à jour logicielle d'Apple ou peut être téléchargée sur le site de support d'Apple.