Windows 10 : iTunes et iCloud peuvent vous infecter avec un ransomware, mettez-les à jour !

Une faille zero-day dans les applications iTunes et iCloud sur Windows 10 permet d’installer des malwares sans déclencher la protection antivirus. Cette vulnérabilité est exploitée pour installer un ransomware du nom BitPaymer qui chiffre l'intégralité du disque dur ou du SSD des victimes.

Windows 10 : faille iTunes et iCloud

Alors que les utilisateurs sur Mac disent tout juste adieu à iTunes avec l’arrivée de macOS Catalina, l'application est toujours disponible sur Windows 10 et il urge qu'elle soit mise à jour, tout comme iCloud. Apple vient en effet de corriger une faille zero-day qui a été découverte par la société de sécurité Morphisec. La faille vient d'une erreur banale dans le code du composant Bonjour qui est inclus dans le package d'iTunes et d'iCloud. Les développeurs d'Apple ont oublié de baliser le chemin d'accès au composant par des guillemets. Cette faille est connue en anglais sous le nom « unquoted vulnerability path ».

En d'autres termes, si un programme se trouve dans c:\program files\sous-répertoire 1\program.exe, un attaquant pourrait exploiter l'absence de guillemets entourant le chemin d'accès dans le code pour exécuter un malware présent dans un autre dossier situé à une adresse c:\program files\sous-répertoire 1\malware.

Windows 10 : Apple corrige une faille critique dans un composant d'iTunes et d'iCloud

La faille est d'autant plus dangereuse qu'elle arrive à échapper aux barrières de protection de Windows 10 ou même des antivirus. Bonjour étant bien connu et portant la signature numérique d'Apple, les algorithmes de protection antivirus ignorent ses actions pour éviter les conflits logiciels sur Windows, explique Morphisec dans son rapport. Cette faille est exploitée pour installer un ransomware du nom de BitPaymer qui chiffre l'intégralité du disque système sur les machines infectées et exige le paiement d'une rançon. De plus, le programme d'installation du logiciel malveillant ne porte pas d'extension .exe, ce qui le fait entièrement passer sous le radar des antivirus.

Apple a déployé un correctif le 7 octobre sur Windows 10. Désinstaller iTunes et iCloud ne vous mettra pas à l'abri du danger puisque cela ne supprime pas le composant Bonjour des PC. Le correctif peut toutefois être appliqué en installant la dernière mise à jour d'iTunes et d'iCloud.

Source : Morphisec


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Design compact, deux capteurs photo 200 MP, batterie 7 000 mAh, le Xiaomi 18 Pro fait dans la démesure

Une partie de la fiche technique du futur Xiaomi 18 Pro a été partagée par une source bien connue de l’industrie mobile. Le smartphone disposerait de caractéristiques techniques des plus…

ChatGPT va pouvoir générer des vidéos à la demande grâce à l’intégration de Sora

Sora, la plateforme de génération de vidéos par IA d’OpenAI, va être nativement intégrée à ChatGPT. Les utilisateurs pourront générer des vidéos depuis le célèbre chatbot. Il y a quelques…

IA

Le prix de GTA 6 quasiment confirmé par Take-Two, l’éditeur sera-t-il gourmand ?

Le prix de GTA 6 a fait l’objet de nombreuses rumeurs, Take-Two devrait finalement opter pour un prix standard pour un jeu de cette ampleur. Le PDG de l’éditeur a…

Avec son Snapdragon 8s Gen 4, le Poco F7 5G est à seulement 272 € : difficile de faire mieux

Le POCO F7 5G voit son prix descendre sous la barre des 300 €, un très bon prix pour un smartphone aux performances haut de gamme. AliExpress le propose actuellement…

iPhone 14 Pro à moins de 450 € : du haut de gamme à prix cassé

L’iPhone 14 Pro devient beaucoup plus abordable grâce à une offre proposée par CertiDeal, le spécialiste français du reconditionné. Le smartphone passe ainsi à 449,99 €, contre 1 329 €…

Test Nothing Phone (4a) Pro : il visait le segment premium mais ses bras sont trop courts

Deux semaines après le Nothing Phone (4a), la version Pro est désormais disponible en France. S’appuyant sur un design qui met davantage en valeur l’aluminium, le Nothng Phone (4a) Pro…

Xiaomi améliore sa SU7 avec plus d’autonomie, du LiDAR et un prix agressif

Xiaomi revient avec une nouvelle SU7 nettement améliorée. La berline électrique gagne en autonomie, en puissance et en technologies. En quelques années, le marché des voitures électriques a fortement évolué….

Ne croyez pas aux promesses d’étanchéité des montres connectées, ces images le prouvent

Les montres connectées sont souvent présentées comme résistantes à l’eau. Pourtant, certaines situations peuvent rapidement les endommager, même pour les plus chères. Une simple baignade peut suffire à provoquer des…

SFR simplifie le transfert d’eSIM entre iPhone et smartphone Android, une première en France

Le transfert d’eSIM entre iPhone et smartphone Android est une opération compliquée, qui doit nécessiter l’intervention du service client de l’opérateur. Ce n’est plus le cas chez SFR, pour les…

AliExpress casse les prix pour son anniversaire : voici les offres qui valent le coup

Pour célébrer son anniversaire, AliExpress lance une vague de promotions sur l’ensemble de son site, et notamment sur nombreux produits high-tech. Smartphones, tablettes, PC, casques et écouteurs, objets connectés : pendant…