[FAILLE] Myspace quicktime et JavaSctipt

Le service communautaire MySpace a été victime d'un virus baptisé JS/Quickspace.A par l'éditeur antivirus F-Secure. Ce programme malveillant a été posté sur le site sous la forme d'une vidéo au format Quicktime d'Apple.

Sa méthode d'infection est la suivante: l'internaute visite une page web piégée intégrant cette vidéo. Sans prévenir, le système télécharge du code malveillant; il exploite pour cela une fonction de Quicktime permettant aux vidéos d'intégrer des lignes de code en JavaScritp.

Le virus va alors tenter de modifier la page de profil MySpace de l'internaute, s'il en possède une. Sa page inclura alors un menu renvoyant à un faux site MySpace dans le but de récupérer les e-mails, identifiants et mots de passe des utilisateurs, selon le principe du phishing. Un lien vers la vidéo piégée est également ajouté à la page.

Ce virus n'aurait pas causé de dommages selon MySpace, qui a bloqué au plus vite les vidéos contaminées. Le site est par ailleurs entré en contact avec Apple afin de développer dans les meilleurs délais un correctif pour Quicktime.