Mai 2012
QuickTime est vulnérable
par Christophe Laporte le 13.01.2008 à 10:59
Une nouvelle vulnérabilité a été découverte dans QuickTime 7.3.1. Elle permet à une personne malintentionnée l’exécution de code arbitraire à distance via un dépassement de mémoire tampon lors d’une tentative infructueuse de lecture d’un fichier via le protocole Real Time Streaming Protocol (RTSP). Cette faille concerne les utilisateurs sous Windows ainsi que ceux sous Mac semble-t-il. En attendant qu'Apple rectifie le tir, il est recommandé de faire du streaming uniquement sur des sites dignes de confiance.
|
2
1
Vos réactions (22 réactions)
Flibust007
[13/01/2008 11:56]
A croire qu'il y a des gens dont la seule occupation, le seul hobby, le seul métier, la seule ambition est de trouver des failles partout, partout, partout ...
Ok ils ont leur utilité ... relative.
Mais qu'ils produisent donc, puisqu'ils sont si forts.
A croire qu'il y a des gens dont la seule occupation, le seul hobby, le seul métier, la seule ambition est de trouver des failles partout, partout, partout ...
Ok ils ont leur utilité ... relative.
Mais qu'ils produisent donc, puisqu'ils sont si forts.
Bassman
[13/01/2008 12:00]
Etonnant, le bulletin Renater que j'ai eu au boulot ne mentionnait que Windows pour les vulnérabilité de QT.
Etonnant, le bulletin Renater que j'ai eu au boulot ne mentionnait que Windows pour les vulnérabilité de QT.
Leehalt
[13/01/2008 12:03]
@ Flibust007 : Tu ne crois pas si bien dire, de telles personnes existent. La réalité du piratage mafieux (qui exploite ce genre de failles pour se faire du fric) et des personnes qui luttent contre (éditeurs, polices...) dépasse souvent la fiction. Nous, grand public, ne voyons que la partie émergée de l'iceberg.
@ Flibust007 : Tu ne crois pas si bien dire, de telles personnes existent. La réalité du piratage mafieux (qui exploite ce genre de failles pour se faire du fric) et des personnes qui luttent contre (éditeurs, polices...) dépasse souvent la fiction. Nous, grand public, ne voyons que la partie émergée de l'iceberg.
Flibust007
[13/01/2008 12:16]
@ Leehalt
Merci, cela a le mérite d'être bref et complet.
Je n'imaginais pas une telle ampleur ni des buts inavouables.
Décidément, le mal revêt toutes les apparences.
@ Leehalt
Merci, cela a le mérite d'être bref et complet.
Je n'imaginais pas une telle ampleur ni des buts inavouables.
Décidément, le mal revêt toutes les apparences.
manny78
[13/01/2008 12:24]
Gourvernons par la peur, des malfaisants, il y en a toujours eu, maintenant vivre dans la peur permanente est vraiment d'une stupidité déconcertante. Nous ne voyons que la partie émergée, ah minority report est de retour.
Si vous voulez etre ultra securisé, n'utilisez pas d'ordinateur, ni portable tél etc...
Gourvernons par la peur, des malfaisants, il y en a toujours eu, maintenant vivre dans la peur permanente est vraiment d'une stupidité déconcertante. Nous ne voyons que la partie émergée, ah minority report est de retour.
Si vous voulez etre ultra securisé, n'utilisez pas d'ordinateur, ni portable tél etc...
shoko
[13/01/2008 13:44]
MDR ! J'ai l'impression de revenir sous Windows :o))
Annonces de failles de sécu, vulnérabilité, etc ... la légendaire fiabilité et sécurité de macosx peut retourner aux oubliettes ! J'vais finir par installer Kerio et Avast sur mon mac :o))
MDR ! J'ai l'impression de revenir sous Windows :o))
Annonces de failles de sécu, vulnérabilité, etc ... la légendaire fiabilité et sécurité de macosx peut retourner aux oubliettes ! J'vais finir par installer Kerio et Avast sur mon mac :o))
manny78
[13/01/2008 13:48]
pauvre shoko, rien a dire comme tous les trolls
pauvre shoko, rien a dire comme tous les trolls
bacherig
[13/01/2008 14:02]
Manny, si tu veux des exemples comme quoi les attaques informatiques ne sont pas une simple émanation de la paranoïa sécuritaire démagogique que susciteraient en particulier certains hommes politiques (on a suivi ton regard), je te signale que par un trou de sécurité on peut attaquer un ordinateur, en prendre partiellement le contrôle et l'utiliser à l'insu de l'utilisateur pour envoyer du spam et attaquer également d'autres machines. Peut-être que si ce bonhomme n'avait pas signalé le trou de sécurité, de vrais pirates l'auraient exploité, ce qui aurait créé de vrais dégâts et mis Apple dans une situation particulièrement inconfortable.
Le boulot du mec est peut-être néfaste à tes yeux, mais personnellement je préfère voir ce type chercher la petite bête plutôt que des gens mal intentionnés la trouver.
Manny, si tu veux des exemples comme quoi les attaques informatiques ne sont pas une simple émanation de la paranoïa sécuritaire démagogique que susciteraient en particulier certains hommes politiques (on a suivi ton regard), je te signale que par un trou de sécurité on peut attaquer un ordinateur, en prendre partiellement le contrôle et l'utiliser à l'insu de l'utilisateur pour envoyer du spam et attaquer également d'autres machines. Peut-être que si ce bonhomme n'avait pas signalé le trou de sécurité, de vrais pirates l'auraient exploité, ce qui aurait créé de vrais dégâts et mis Apple dans une situation particulièrement inconfortable.
Le boulot du mec est peut-être néfaste à tes yeux, mais personnellement je préfère voir ce type chercher la petite bête plutôt que des gens mal intentionnés la trouver.
Philactere
[13/01/2008 14:24]
@ manny78
Quant le sage montre du doigt la lune, l'mbécile regarde le doigt...
@ manny78
Quant le sage montre du doigt la lune, l'mbécile regarde le doigt...
Louis
[13/01/2008 14:50]
@shoko
Tout n'est pas encore perdu, puisque je ne sais pas ce qu'est Kerio!
@shoko
Tout n'est pas encore perdu, puisque je ne sais pas ce qu'est Kerio!
oomu
[13/01/2008 15:11]
je vous l'ai dit mille fois
- oui, c'est un travail que de tester en boucle tous els logiciels
- rien n'est absolu, un logiciel est un travail humain, donc perfectible
- on a jamais critiqué microsoft parce qu'il avait des bugs, mais parce qu'il s'asseyait dessus et qu'il se contente de l'architecture mal conçu et aberrante de windows
- linux , unix, le système de décollage de votre fusée favorite ont des milliards d'alertes de bugs en long et en large mais tous les moyens sont mis pour les repérer, les cataloguer, les corriger, continuer sa route
- os X est beaucoup plus sécurisé que windows, de par le fait qu'aucun bug (et y en a) n'a permit une prise de contrôle aussi effarante que windows. Vista est buggé de partout (comme tout logiciel qui se respecte), pour autant il est nettement plus sur que windows 98.
principe d'une bonne sécurité : tout mettre sur la table . tout
oui les bugs doivent être signalés
oui le code doit être ouvert
oui y a des instituts (tels le cert) qui publient ces informations
être absolu ne veut pas dire être irresponsable
les bonnes pratiques consistent à prevenir l'éditeur en avance avant de balancer sur "grosbug.com" mais oui, il faudra publier.
et CA MARCHE !
--
de plus comme souvent avec les buffer overflow, on sait que le chemin existe, mais pas qu'on peut forcément en faire une exécution de code pour prendre le contrôle; de plus os X a des protection contre cela (il crash le programme plutôt que de le laisser dépasser les variables allouées à l'avance )
notez que ce mécanisme n'est pas propre à os x mais à tous les systèmes actuels.
je vous l'ai dit mille fois
- oui, c'est un travail que de tester en boucle tous els logiciels
- rien n'est absolu, un logiciel est un travail humain, donc perfectible
- on a jamais critiqué microsoft parce qu'il avait des bugs, mais parce qu'il s'asseyait dessus et qu'il se contente de l'architecture mal conçu et aberrante de windows
- linux , unix, le système de décollage de votre fusée favorite ont des milliards d'alertes de bugs en long et en large mais tous les moyens sont mis pour les repérer, les cataloguer, les corriger, continuer sa route
- os X est beaucoup plus sécurisé que windows, de par le fait qu'aucun bug (et y en a) n'a permit une prise de contrôle aussi effarante que windows. Vista est buggé de partout (comme tout logiciel qui se respecte), pour autant il est nettement plus sur que windows 98.
principe d'une bonne sécurité : tout mettre sur la table . tout
oui les bugs doivent être signalés
oui le code doit être ouvert
oui y a des instituts (tels le cert) qui publient ces informations
être absolu ne veut pas dire être irresponsable
les bonnes pratiques consistent à prevenir l'éditeur en avance avant de balancer sur "grosbug.com" mais oui, il faudra publier.
et CA MARCHE !
--
de plus comme souvent avec les buffer overflow, on sait que le chemin existe, mais pas qu'on peut forcément en faire une exécution de code pour prendre le contrôle; de plus os X a des protection contre cela (il crash le programme plutôt que de le laisser dépasser les variables allouées à l'avance )
notez que ce mécanisme n'est pas propre à os x mais à tous les systèmes actuels.
oomu
[13/01/2008 15:15]
>A croire qu'il y a des gens dont la seule occupation, le seul hobby, le seul métier, la seule ambition est de
>trouver des failles partout, partout, partout ...
une partie de mon travail (qu'on me paye avec plein de sous) consiste à cela.
planter et crasher et tester ce que moi, mes collègues ou intervenants externes ont mis en place
et quand je vois que ca EXPLOSE avec de belles couleurs fluo, j'écris un compte rendu, je propose une solution et on corrige le tout
-> production avec mes petites mimines.
cela vous fait plaisir ? vous voyez que c'est pas un travail de feignasse méchantes et malodorantes qui veulent juste renverser le monde civilisé.
tout va bien.
>A croire qu'il y a des gens dont la seule occupation, le seul hobby, le seul métier, la seule ambition est de
>trouver des failles partout, partout, partout ...
une partie de mon travail (qu'on me paye avec plein de sous) consiste à cela.
planter et crasher et tester ce que moi, mes collègues ou intervenants externes ont mis en place
et quand je vois que ca EXPLOSE avec de belles couleurs fluo, j'écris un compte rendu, je propose une solution et on corrige le tout
-> production avec mes petites mimines.
cela vous fait plaisir ? vous voyez que c'est pas un travail de feignasse méchantes et malodorantes qui veulent juste renverser le monde civilisé.
tout va bien.
oomu
[13/01/2008 15:19]
A propos du vrai piratage avec un but inavoué derrière :
un exemple tout bête, on estime vers les 70% (ou 80% selon les études) le nombre d'expéditeurs de SPAMS qui sont des machines piratées sans la connaissance de son propriétaire. (des "zombies" )
le SPAM a un véritable but économique : faire envoyer 20 millions de pub à pas cher du tout (ben vi, ce sont les zombies qui paient la bande passante, HA!) et gagner des sous sur les 100 ou 1000 gogo qui commandent.
gigantesque marge !
donc, le piratage est un business qui rapporte de l'argent concret, du vrai sous avec lequel on achète des voitures rouges (donc rapides) qui font vraouuuum. ok ?
--
oubliez l'image romantique et rigolote du petit ado boutonneux de 15 ans qui pirate Da World.
ca c'est pour vous faire marrer, vous distraire.
A propos du vrai piratage avec un but inavoué derrière :
un exemple tout bête, on estime vers les 70% (ou 80% selon les études) le nombre d'expéditeurs de SPAMS qui sont des machines piratées sans la connaissance de son propriétaire. (des "zombies" )
le SPAM a un véritable but économique : faire envoyer 20 millions de pub à pas cher du tout (ben vi, ce sont les zombies qui paient la bande passante, HA!) et gagner des sous sur les 100 ou 1000 gogo qui commandent.
gigantesque marge !
donc, le piratage est un business qui rapporte de l'argent concret, du vrai sous avec lequel on achète des voitures rouges (donc rapides) qui font vraouuuum. ok ?
--
oubliez l'image romantique et rigolote du petit ado boutonneux de 15 ans qui pirate Da World.
ca c'est pour vous faire marrer, vous distraire.
wggn
[13/01/2008 15:36]
ce problème persiste-t-il avec l'option de sécurité de leopard suivante: mémoire virtuelle sécurisée ?
ce problème persiste-t-il avec l'option de sécurité de leopard suivante: mémoire virtuelle sécurisée ?
manny78
[13/01/2008 15:39]
eh blablablabla,
le piratage existe, oui
le spam aussi,
le mec cherche les failles tant mieux pour lui,
mais si vous voulez des machines sur, prenez un boulier, vous parlez du jeu du chat et de la souris et perso je m'en tape,
si je veux être sécurisé à 100%, je ne prend pas d'ordi, alors il ne faut pas pleurer à chaque faille
eh blablablabla,
le piratage existe, oui
le spam aussi,
le mec cherche les failles tant mieux pour lui,
mais si vous voulez des machines sur, prenez un boulier, vous parlez du jeu du chat et de la souris et perso je m'en tape,
si je veux être sécurisé à 100%, je ne prend pas d'ordi, alors il ne faut pas pleurer à chaque faille
2
1
Réagir
Cinq consignes avant de réagir :
- Rester dans le cadre de la dépêche. Pour des discussions plus générales, vous pouvez utiliser nos forums.
- Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
- Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
- Pour toute remarque concernant le contenu de l'article, pour nous signaler une erreur, une faute d'orthographe, une omission, merci de nous contacter exclusivement par e-mail.
- Relisez-vous, et pour les utilisateurs de Safari profitez de l'aide du navigateur : activez le menu édition > Orthographe > Vérifier l'orthographe lors de la frappe.