Actualización de seguridad de iTunes
Las versiones no actualizadas de iTunes contienen una vulnerabilidad en la gestión de listas de reproducción, mediante la cual un atacante malicioso puede matar la aplicación y, siendo cuidadoso, ejecutar código arbitrario en la máquina víctima.
iTunes es una aplicación de Apple para la reproducción y gestión de archivos de sonido, grabación de CDs, compartición de música y, también, un “frontal” para la tienda de música “online” de Apple. Desarrollada originariamente para el entorno Mac OS X de Apple, la compañía la ha portado también a Microsoft Windows.
Las versiones de iTunes previas a la 4.7.1 contienen un desbordamiento de búfer en la gestión de las listas de reproducción, mediante el cual el atacante puede matar la aplicación y, bajo ciertas circunstancias, ejecutar código arbitrario en la máquina víctima. La vulnerabilidad se explota mediante el uso de nombres anormalmente largos en los ficheros “.m3u” o “.pls”, a través de un fichero de reproducción proporcionado por un atacante malicioso.
Apple ha publicado una actualización (4.7.1) para iTunes, disponible para Mac OS X y Microsoft Windows.
Hispasec aconseja a todos los usuarios de iTunes que actualicen sus sistemas, y que eviten -en lo posible- utilizar listas de reproducción de origen dudoso.