Mise à jour du 19/07/11, par Hinault Romaric
Apple vient de publier une mise à jour de sécurité pour son système d’exploitation mobile iOS 4.3.4.
Cette mise à jour apporte un correctif de sécurité pour la faille dans les modules CoreGraphics et IOMobileFrameBuffe du lecteur PDF du navigateur mobile Safari, qui pouvait être exploitée par un pirate pour exécuter du code malicieux à distance ou entrainer le crash d’une application.
Cette vulnérabilité avait été exploitée par l’utilitaire JailbreakMe 3.0 de la Dev-Team pour déverrouiller les terminaux sous iOS 4.3.3, y compris l’iPad 2 (lire ci-avant).
iOS 4.3.4 renforce également la sécurité du système ASLR (Address Space Layout Randomization), rendant impossible le déverrouillage permanent des dispositifs iOS.
Cette mise à jour est disponible en deux versions, l’une pour l’iPAD 1 et 2, et l’autre pour les terminaux iPhone 3GS et 4, iPod Touch 3G et 4G tous sous iOS 4.3.3.
Les différentes versions d’iOS 4.3.4 sont téléchargeables via iTunes.
La Dev Team, quant à elle, n’a pas tardé à publier une mise jour de son utilitaire jailbreak Redsn0w pour iOS 4.3.4. Cependant, l’outil ne permet plus le débridage de l’iPad 2, et est tethered (nécessite de connecter son terminal à un ordinateur à chaque redémarrage).
Source : Apple
Et vous ?
Que pensez-vous de ce nouveau Jailbreak rapide d’iOS 4.3.4?
JailbreakMe 3.0 déverrouille les terminaux sous iOS 4.3.3
Y compris l'iPad 2 grâce à une faille de sécurité de Safari mobile
Un hacker du nom de Comex, de la Dev-Team, vient de publier une mise à jour de son utilitaire JailbreakMe qui permet le déverrouillage complet des dispositifs iOS.
JailbreakMe 3.0 permet l'installation des applications non officielles sur les terminaux mobiles s'exécutant sous iOS 4.3.3. C'est la première solution de débridage qui fonctionne également sur l'iPad 2.
Cette nouvelle solution permet de jailbreaker l'iPhone 3GS et 4, l'iPod Touch 3G et 4G, l'IPad 1 et 2, tous sous iOS 4.3.3.
Jailbreakme 3.0 exploite une faille de sécurité dans le lecteur PDF du navigateur mobile Safari et contourne le système ASLR (Address Space Layout Randomization), un système qui normalement bloque les applications non-officielles (Cydia) et permet pour Apple de mieux sécuriser les dispositifs iOS.
Revers de la médaille, ces failles de sécurité dévoilées par Comex peuvent aussi être exploitées par des pirates pour exécuter du code malicieux à distance.
Pour bien montrer qu'il n'est pas du côté des cybercriminels, Comex a donc publié parallèlement à JailbreakMe 3.0 un correctif de sécurité (à appliquer une fois l'appareil déverrouillé).
Ces failles du lecteur PDF seraient également présentes dans la version beta d'iOS 5, mais elles devraient certainement être patchées dans la version finale de l'OS annoncée pour l'automne.
Pour mémoire, un membre de la Dev-Team avait également procédé au déverrouillage d'iOS 5 moins de 24h après sa disponibilité.
JailbreakMe 3.0 est disponible sur cette page
Complément : L'administration fédérale allemande de sécurité informatique (BSI) a diffusé aujourd'hui un article révélant l'existence de cette faille de sécurité dans la mauvaise gestion des pdfs, permettant l’exécution de code malicieux et tout ce qui va avec.
Source : (pour tous les courageux qui s'attaquent à l'allemand) : Neue Schwachstellen im Apple Betriebssystem iOS
Et vous ?
Que pensez-vous de ce nouveau déverrouillage des terminaux iOS*? Allez-vous l'utiliser ?
JailbreakMe 3.0 déverrouille tous les terminaux sous iOS 4.3.3
Y compris l'iPad 2, grâce à une faille de sécurité de Safari mobile
JailbreakMe 3.0 déverrouille tous les terminaux sous iOS 4.3.3
Y compris l'iPad 2, grâce à une faille de sécurité de Safari mobile
Le , par Hinault Romaric
Une erreur dans cette actualité ? Signalez-nous-la !