Mise à jour du 12/08/10
Apple n'a pas tardé à réagir face à la gravité (et la simplicité) des exploits rendus possibles par la faille découverte la semaine dernière.
Pour mémoire, cette faille concerne la manière dont Safari Mobile gère les PDF. Un code malicieux utilisant cette vulnérabilité pourrait s'affranchir de la sandbox protectrice d'iOS et obtenir les droits root (lire ci-avant).
Un site, Jailbreakme.com, avait même utilisé la méthode pour proposer le déverrouillage en ligne des terminaux mobiles. Un exploit légal et surtout non-malicieux, mais qui aurait pu donner des idées à des hackers moins bien intentionnés (des pirates donc).
Pour éviter cette situation désagréable, Apple vient de sortir un patch qui sécurise la manière dont le navigateur mobile d'Apple gère les PDF.
Ce correctif est disponible via iTunes. Il est également livré avec les versions 4.0.2 de iOS (pour l'iPhone et l'iPod Touch) et la 3.2.2 pour l'iPad.
Il est - bien évidemment - très fortement recommandé de faire ces mises à jour et de l'appliquer le plus rapidement possible.
Si vous voulez garder le contrôle de votre appareil bien sûr.
Et vous ?
Pensez-vous que la réaction d'Apple et sa rapidité ont été exemplaire dans cette affaire ? Ou au contraire qu'Apple peu tmieux faire ?
MAJ de Gordon Fowler
Une faille dans iOS permet de prendre le contrôle des appareils d'Apple
iPhone, iPad et iPod sont touchés, Apple s'inquiète
Contrairement aux « Jailbreaks » précédents, qui nécessitaient que l'iPhone soit connecté à un ordinateur, la dernière méthode de déverrouillage de iOS 4 peut se faire via un site Web (jailbreakme.com) avec comme seul outil le navigateur Safari.
Or, si un Jailbreak peut être effectué avec Safari, on imagine facilement les potentialités de prise de contrôle à distance de l'iPhone (ou de l'iPod touch ou de l'iPad).
Cette méthode de déverrouillage s'appuie en fait sur une faille, liée au lecteur PDF. Une faille de chargement des polices de caractère du lecteur plus précisément. Un code malicieux qui exploite cette vulnérbilité pourrait même s'affranchir de la sandbox protectrice d'iOS 4 et obtenir les droits root.
Résultat : un accès sans restriction à tout l'appareil sur toutes les versions de l'iOS, exceptée, peut-être la 4.1 bêta actuellement en cours de tests.
Si Jailbreakme.com est pour le moment le seul exploit de cette faille, un exploit légal et surtout non-malicieux, d'autres hackers mal intentionnés eux, pourraient analyser et décompiler le code de cette méthode pour l'utiliser dans des applications nettement moins recommandables.
Apple a reconnu le problème et semble être préoccupé par cette vulnérabilité.
Aucune date n'est en revanche annoncée pour colmater cette faille importante.
En attendant, le site Mac Stories propose une méthode pour prévenir le chargement automatique des PDF sur iOS (Anglais).
Source : Dépêche de Reuters
Lire aussi :
Les cybercriminels exploitent le déverrouillage de l'iPhone pour propager leurs malwares en utilisant des techniques d'ingénierie sociale
La justice américaine rend légal le jailbreak de l'iPhone, victoire ou aberration ?
Les ventes d'Android auraient dépassé celles de l'iPhone aux Etats-Unis : retournement du marché ou simple attente de l'iPhone 4 ?
Les rubriques (actu, forums, tutos) de Développez :
Mac
Sécurité
Mobile
Systèmes
Et vous ?
En tant qu'utilisateurs de l'iPhone/iPad/iPod Touch, la présence de cette faille changera-t-elle vos habitudes d'utilisation et de navigation ?
Les produits Apple sont-ils si sécurisés ?
En collaboration avec Gordon Fowler
Apple colmate en urgence la faille critique qui touche ses OS mobiles
Et la gestion des PDF de Safari
Apple colmate en urgence la faille critique qui touche ses OS mobiles
Et la gestion des PDF de Safari
Le , par Idelways
Une erreur dans cette actualité ? Signalez-nous-la !