QuickTime inaugure le MoAB : Microsoft touché par ricochet
Le Mois du Bug Apple vient d'être inauguré par une faille Quicktime signée LMH et Kevin Finistere, faille et fuzzing très largement commenté par le couple d'auteurs. La lecture de l'article est à la hauteur d'un cour magistral, à tel point que l'exploitation de la faille ne devrait pas poser trop de problème à un chercheur sachant chercher. Les méthodes de contournement sont très clairement décrites sur le forum du SANS. Il est évident que le la prudence impose de ne pas tenir compte des « mitigating factors », à savoir que l'exploitation du problème n'est possible « que » si la victime ouvre un contenu vidéo située sur une page web externe... le réflexe quasi pavlovien de la YouTube Generation rend vain tout message d'incitation à la prudence. L'Ironie veut que ce premier « bug Apple » touche un composant utilisé indifféremment par le monde OS X et Windows... et que ces deux plateformes sont potentiellement vulnérables.
