Una falla di elevata pericolosità è stata segnalata da Secunia in riferimento al software Apple iTunes. Il noto tool legato all’omonimo music store avrebbe già trovato la risoluzione del problema nell’aggiornamento alla nuova versione, e la segnalazione del bug suggerisce un’immediato upgrade per tutti coloro i quali gestiscono i propri file musicali con il software stesso.
La falla, la cui scoperta porta la firma di Sean de Regge, è stata riscontrata nell’interpretazione dei file .m3u e .pls (playlist) ed è tale per cui una playlist malformata può trasformarsi in veicolo per un attacco in grado di causare uno stato di buffer overflow sulla macchina colpita.
Va sottolineato come nel Novembre 2004 gli stessi file .m3u avevano già apportato problemi agli utenti Winamp a causa di una falla riscontrata all’interno del file in_cdda.dll. Oggi, mentre iTunes segnala un nuovo problema con i file .m3u ed aggiorna la propria versione, anche Winamp segnala un problema (ancora il file in_cdda.dll incriminato) e, pur senza fornire indicazioni circa l’origine del bug, consiglia un immediato update del software. Impossibile giudicare i termini per stabilire se trattasi di casualità o coincidenza (dalla NullSoft non giunge alcun dettaglio sulle falle evidenziatesi), rimane però la contemporaneità delle segnalazioni, l’analogia dei dettagli e l’immediata disponibilità di entrambi gli aggiornamenti.
Mentre iTunes passa alla versione 4.7.1 (aggiornamento motivato altresì dalle necessità relative alla compatibilità del nuovo iPod shuffle), Winamp giunge alla versione 5.08c.
La giornata nera della sicurezza in ambito di software musicali si chiude con la grave falla riscontrata nel lettore open source Mpg123. Essendo la patch attualmente non ancora disponibile, Secunia consiglia di utilizzare momentaneamente un player alternativo.