Apple n'a pas tardé à réagir face à la gravité (et la simplicité) des exploits rendus possibles par la faille découverte la semaine dernière.
Pour mémoire, cette faille concerne la manière dont Safari Mobile gère les PDF. Un code malicieux utilisant cette vulnérabilité pourrait s'affranchir de la sandbox protectrice d'iOS et obtenir les droits root (lire ci-avant).
Un site, Jailbreakme.com, avait même utilisé la méthode pour proposer le déverrouillage en ligne des terminaux mobiles. Un exploit légal et surtout non-malicieux, mais qui aurait pu donner des idées à des hackers moins bien intentionnés (des pirates donc).
Pour éviter cette situation désagréable, Apple vient de sortir un patch qui sécurise la manière dont le navigateur mobile d'Apple gère les PDF.
Ce correctif est disponible via iTunes. Il est également livré avec les versions 4.0.2 de iOS (pour l'iPhone et l'iPod Touch) et la 3.2.2 pour l'iPad.
Il est - bien évidemment - très fortement recommandé de faire ces mises à jour et de l'appliquer le plus rapidement possible.
Si vous voulez garder le contrôle de votre appareil bien sûr.
Et vous ?

MAJ de Gordon Fowler
Une faille dans iOS permet de prendre le contrôle des appareils d'Apple
iPhone, iPad et iPod sont touchés, Apple s'inquiète
Contrairement aux « Jailbreaks » précédents, qui nécessitaient que l'iPhone soit connecté à un ordinateur, la dernière méthode de déverrouillage de iOS 4 peut se faire via un site Web (jailbreakme.com) avec comme seul outil le navigateur Safari.
Or, si un Jailbreak peut être effectué avec Safari, on imagine facilement les potentialités de prise de contrôle à distance de l'iPhone (ou de l'iPod touch ou de l'iPad).
Cette méthode de déverrouillage s'appuie en fait sur une faille, liée au lecteur PDF. Une faille de chargement des polices de caractère du lecteur plus précisément. Un code malicieux qui exploite cette vulnérbilité pourrait même s'affranchir de la sandbox protectrice d'iOS 4 et obtenir les droits root.
Résultat : un accès sans restriction à tout l'appareil sur toutes les versions de l'iOS, exceptée, peut-être la 4.1 bêta actuellement en cours de tests.
Si Jailbreakme.com est pour le moment le seul exploit de cette faille, un exploit légal et surtout non-malicieux, d'autres hackers mal intentionnés eux, pourraient analyser et décompiler le code de cette méthode pour l'utiliser dans des applications nettement moins recommandables.
Apple a reconnu le problème et semble être préoccupé par cette vulnérabilité.
Aucune date n'est en revanche annoncée pour colmater cette faille importante.
En attendant, le site Mac Stories propose une méthode pour prévenir le chargement automatique des PDF sur iOS (Anglais).
Source : Dépêche de Reuters
Lire aussi :



Les rubriques (actu, forums, tutos) de Développez :




Et vous ?


En collaboration avec Gordon Fowler
Vous avez lu gratuitement 593 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.