IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Apple colmate en urgence la faille critique qui touche ses OS mobiles
Et la gestion des PDF de Safari

Le , par Idelways

134PARTAGES

0  0 
Mise à jour du 12/08/10

Apple n'a pas tardé à réagir face à la gravité (et la simplicité) des exploits rendus possibles par la faille découverte la semaine dernière.

Pour mémoire, cette faille concerne la manière dont Safari Mobile gère les PDF. Un code malicieux utilisant cette vulnérabilité pourrait s'affranchir de la sandbox protectrice d'iOS et obtenir les droits root (lire ci-avant).

Un site, Jailbreakme.com, avait même utilisé la méthode pour proposer le déverrouillage en ligne des terminaux mobiles. Un exploit légal et surtout non-malicieux, mais qui aurait pu donner des idées à des hackers moins bien intentionnés (des pirates donc).

Pour éviter cette situation désagréable, Apple vient de sortir un patch qui sécurise la manière dont le navigateur mobile d'Apple gère les PDF.

Ce correctif est disponible via iTunes. Il est également livré avec les versions 4.0.2 de iOS (pour l'iPhone et l'iPod Touch) et la 3.2.2 pour l'iPad.

Il est - bien évidemment - très fortement recommandé de faire ces mises à jour et de l'appliquer le plus rapidement possible.

Si vous voulez garder le contrôle de votre appareil bien sûr.

Et vous ?

Pensez-vous que la réaction d'Apple et sa rapidité ont été exemplaire dans cette affaire ? Ou au contraire qu'Apple peu tmieux faire ?

MAJ de Gordon Fowler

Une faille dans iOS permet de prendre le contrôle des appareils d'Apple
iPhone, iPad et iPod sont touchés, Apple s'inquiète

Contrairement aux « Jailbreaks » précédents, qui nécessitaient que l'iPhone soit connecté à un ordinateur, la dernière méthode de déverrouillage de iOS 4 peut se faire via un site Web (jailbreakme.com) avec comme seul outil le navigateur Safari.

Or, si un Jailbreak peut être effectué avec Safari, on imagine facilement les potentialités de prise de contrôle à distance de l'iPhone (ou de l'iPod touch ou de l'iPad).

Cette méthode de déverrouillage s'appuie en fait sur une faille, liée au lecteur PDF. Une faille de chargement des polices de caractère du lecteur plus précisément. Un code malicieux qui exploite cette vulnérbilité pourrait même s'affranchir de la sandbox protectrice d'iOS 4 et obtenir les droits root.

Résultat : un accès sans restriction à tout l'appareil sur toutes les versions de l'iOS, exceptée, peut-être la 4.1 bêta actuellement en cours de tests.

Si Jailbreakme.com est pour le moment le seul exploit de cette faille, un exploit légal et surtout non-malicieux, d'autres hackers mal intentionnés eux, pourraient analyser et décompiler le code de cette méthode pour l'utiliser dans des applications nettement moins recommandables.

Apple a reconnu le problème et semble être préoccupé par cette vulnérabilité.

Aucune date n'est en revanche annoncée pour colmater cette faille importante.

En attendant, le site Mac Stories propose une méthode pour prévenir le chargement automatique des PDF sur iOS (Anglais).

Source : Dépêche de Reuters


Lire aussi :

Les cybercriminels exploitent le déverrouillage de l'iPhone pour propager leurs malwares en utilisant des techniques d'ingénierie sociale

La justice américaine rend légal le jailbreak de l'iPhone, victoire ou aberration ?

Les ventes d'Android auraient dépassé celles de l'iPhone aux Etats-Unis : retournement du marché ou simple attente de l'iPhone 4 ?

Les rubriques (actu, forums, tutos) de Développez :

Mac
Sécurité
Mobile
Systèmes

Et vous ?

En tant qu'utilisateurs de l'iPhone/iPad/iPod Touch, la présence de cette faille changera-t-elle vos habitudes d'utilisation et de navigation ?

Les produits Apple sont-ils si sécurisés ?

En collaboration avec Gordon Fowler

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de grafikm_fr
Expert confirmé https://www.developpez.com
Le 04/08/2010 à 13:35
Cette méthode de déverrouillage s'appuie en fait sur une faille, lié au lecteur PDF.
Je sens que Steve Jobs va donner une conférence de presse pour nous expliquer que c'est un complot d'Adobe destiné à entacher l'immaculée réputation d'Apple...
7  0 
Avatar de Louis Griffont
Inactif https://www.developpez.com
Le 05/08/2010 à 9:42
Citation Envoyé par trenton Voir le message
En même temps, un système sans faille ça n'existe pas, l'important c'est de savoir dans combien de temps la correction sera proposée aux utilisateurs.
C'est pas le même discours que quand c'est Microsoft qui est touché ! Etonnant, non ?
7  2 
Avatar de trenton
Membre expérimenté https://www.developpez.com
Le 05/08/2010 à 9:30
En même temps, un système sans faille ça n'existe pas, l'important c'est de savoir dans combien de temps la correction sera proposée aux utilisateurs.
2  0 
Avatar de Génoce
Membre éclairé https://www.developpez.com
Le 05/08/2010 à 14:36
Citation Envoyé par Lyche Voir le message
Comme la pub Pepsi ou on voyait un gamin s'acheter 2 canettes de coca pour monter dessus pour atteindre le bouton pepsi. C'est pas mensonger, s'est juste ultrafun

Ou la pub du loto foot suédois, ou le type fait semblant de tenir une porte en verre aux passants qui se la prennent dans la bouche

Pas besoin de faire des trucs mensongers, un peu d'humour, un peu de "bon sens" et on fait vite des pubs qui marquent et qui attirent l'oeil
C'est clair que c'est les pubs humoristiques qu'on retient le mieux!

Les pubs qui m'énervent, ce sont celles en musique dans un monde coloré ou tout le monde est beau et gentil car ils consomment ce [ Produit ].

J'ai plus de télé et c'est très bien comme ça !
2  0 
Avatar de GanYoshi
Membre chevronné https://www.developpez.com
Le 05/08/2010 à 15:09
Citation Envoyé par JohnPetrucci Voir le message
Moi aussi elles m'ont bien fait rire, quelle négation de la concurrence (aussi faible en part de marché soit-elle)
Sauf que umeboshi faisait de l'ironie, mais ça quand on est obsédé par une haine on calcule un peu moins.

Moi c'est la publicité mercurochrome, dans le genre on te bourre le crâne en te passant trois fois à suivre la même pub, ils sont forts.
3  1 
Avatar de FailMan
Membre expert https://www.developpez.com
Le 05/08/2010 à 15:45
Citation Envoyé par trenton Voir le message
En même temps, ça reflète bien la situation actuelle : quand tu achètes un PC autre qu'un PC Apple, tu es obligé d'acheter Windows avec la plupart du temps.
Ce qui est normal, vu que lorsque tu achètes Windows avec une machine il est en licence OEM, donc si tu as envie de rester dans l'illégalité, c'est ton problème. Si le type de licence te plait pas, n'achète pas.
2  0 
Avatar de Génoce
Membre éclairé https://www.developpez.com
Le 05/08/2010 à 16:08
Citation Envoyé par Louis Griffont Voir le message
Dans le style des pub nulles, celle de l'iphone est pas mal non plus

Vous voulez qu'on vous taille une pipe "Y a une appli pour ça"
Vous voulez qu'on vous taille une pipe "On a supprimé l'appli pour ça"
2  0 
Avatar de Hellwing
Membre chevronné https://www.developpez.com
Le 06/08/2010 à 9:10
Citation Envoyé par trenton Voir le message
Enfin, que je sache on m'a encore jamais obligé à acheter une voiture sous prétexte que c'était pas légale d'en voler une (ce n'est pourtant pas mon intention), quelle étrange histoire...
Sans vouloir m'imiscer dans votre guéguerre à deux balles, je serais curieux de savoir ce que ce propos vient faire ici (surtout tourné de cette manière).
2  0 
Avatar de Caly4D
En attente de confirmation mail https://www.developpez.com
Le 06/08/2010 à 9:29
Citation Envoyé par Hellwing Voir le message
J'avais aussi compris ça, mais j'ai du mal à comprendre ce qu'apporte le lien entre l'OEM et son exemple parlant de voiture.
bah sur ce coup c'est Trenton qui semble pas avoir bien percuter
2  0 
Avatar de cortex024
Membre extrêmement actif https://www.developpez.com
Le 12/08/2010 à 11:41
Citation Envoyé par DotNET74 Voir le message
Ce que je vois là dedans c'est que Linux, Unix n'est pas si blindé que ça.

Et cela se voit avec la grandissante popularité des Iphones et Ipad.

A voir aussi, l'OS Android qui vient d'avoir son premier Trojan (FakePlayer).

Ce qui me fait dire que Microsoft n'est pas si mauvais que ça
bien sûr.

Mais ça, les anti-MS (M$ comme les boulets aiment écrire) n'ont jamais compris ça.
Windows avait +90% des parts de marchés, forcément que attaquer un autre système n'était pas intéressant.

Maintenant que d'autres produits arrivent sur le devant de la scène, on va commencer à voir la réalité en face
2  0