Les trou de sécurité béant dans Mobile Safari a été corrigé avec des mises à jour du système d'exploitation iOS d'Apple.
Apple vient de mettre à jour iOS pour 4.0.2 pour iPhone (et iPod touch) et iOS 3.2.2 pour l'iPad. Les mises à jour corrigent une vulnérabilité de sécurité qui permettait à Safari d'exécuter du code intégré dans des fichiers PDF.
Les mises à jour sont disponibles via iTunes. Cliquez sur « Vérifier la mise à jour » pour télécharger.
Si vous envisagez de jailbreaker votre appareil, faites-le avant la mise à jour. Ne soyez pas surpris si le dernier firmware inclut également une mise à jour de la bande de base. Si cela se produit, cela bloquera également le déverrouillage du transporteur ultrasn0w.
De toute évidence, les nouvelles mises à jour iOS cassent le jailbreak à JailbreakMe.com, qui a exploité la vulnérabilité.
Les mises à jour peuvent également contenir un nouveau micrologiciel de bande de base, qui se brisera déverrouillage du transporteur. Pour jailbreaker et déverrouiller votre appareil iOS, consultez notre Superguide du jailbreak.
Voici les détails d'Apple :
À propos du contenu de sécurité de la mise à jour iOS 4.0.2 pour iPhone et iPod touch
Dernière modification: 11 août 2010
Article: HT4291
Sommaire
Ce document décrit le contenu de sécurité de la mise à jour iOS 4.0.2 pour iPhone et iPod touch, qui peut être téléchargé et installé en utilisant iTunes.
Pour la protection de nos clients, Apple ne divulgue, ne discute ni ne confirme les problèmes de sécurité tant qu'une enquête complète n'a pas eu lieu et que les correctifs ou les versions nécessaires ne sont pas disponibles. Pour en savoir plus sur la sécurité des produits Apple, consultez le Sécurité des produits Apple site Internet.
Pour plus d'informations sur la clé PGP de sécurité des produits Apple, consultez «Comment utiliser la clé PGP de sécurité des produits Apple.”
Lorsque c'est possible, ID CVE sont utilisés pour référencer les vulnérabilités pour plus d'informations.
Pour en savoir plus sur les autres mises à jour de sécurité, consultez «Mises à jour de sécurité Apple“.
Produits concernés
iPhone, sécurité des produits, iPod touch
Mise à jour iOS 4.0.2 pour iPhone et iPod touch
Type libre
ID CVE: CVE-2010-1797
Disponible pour: iOS 2.0 à 4.0.1 pour iPhone 3G et versions ultérieures, iOS 2.1 à 4.0 pour iPod touch (2e génération) et versions ultérieures
Impact: l'affichage d'un document PDF avec des polices intégrées conçues de manière malveillante peut permettre l'exécution de code arbitraire
Description: un débordement de la mémoire tampon de la pile existe dans la gestion par FreeType des opcodes CFF. L'affichage d'un document PDF avec des polices intégrées conçues de manière malveillante peut permettre l'exécution de code arbitraire. Ce problème est résolu par une meilleure vérification des limites.
IOSurface
ID CVE: CVE-2010-2973
Disponible pour: iOS 2.0 à 4.0.1 pour iPhone 3G et versions ultérieures, iOS 2.1 à 4.0 pour iPod touch (2e génération) et versions ultérieures
Impact: le code malveillant s'exécutant car l'utilisateur peut obtenir des privilèges système
Description: il existe un débordement d'entier dans la gestion des propriétés IOSurface, ce qui peut permettre à un code malveillant exécuté en tant qu'utilisateur d'obtenir des privilèges système. Ce problème est résolu par une meilleure vérification des limites.
++
À propos du contenu de sécurité de la mise à jour iOS 3.2.2 pour iPad
Dernière modification: 11 août 2010
Article: HT4292
Sommaire
Ce document décrit le contenu de sécurité de la mise à jour iOS 3.2.2 pour iPad, qui peut être téléchargée et installée en utilisant iTunes.
Pour la protection de nos clients, Apple ne divulgue, ne discute ni ne confirme les problèmes de sécurité tant qu'une enquête complète n'a pas eu lieu et que les correctifs ou les versions nécessaires ne sont pas disponibles. Pour en savoir plus sur la sécurité des produits Apple, consultez le Sécurité des produits Apple site Internet.
Pour plus d'informations sur la clé PGP de sécurité des produits Apple, voir « Comment utiliser Clé PGP de sécurité des produits Apple.”
Lorsque c'est possible, ID CVE sont utilisés pour référencer les vulnérabilités pour plus d'informations.
Pour en savoir plus sur les autres mises à jour de sécurité, consultez «Mises à jour de sécurité Apple“.
Produits concernés
Sécurité des produits, iPad
Mise à jour iOS 3.2.2 pour iPad
Type libre
ID CVE: CVE-2010-1797
Disponible pour: iOS 3.2 et 3.2.1 pour iPad
Impact: l'affichage d'un document PDF avec des polices intégrées conçues de manière malveillante peut permettre l'exécution de code arbitraire
Description: un débordement de la mémoire tampon de la pile existe dans la gestion par FreeType des opcodes CFF. L'affichage d'un document PDF avec des polices intégrées conçues de manière malveillante peut permettre l'exécution de code arbitraire. Ce problème est résolu par une meilleure vérification des limites.
IOSurface
ID CVE: CVE-2010-2973
Disponible pour: iOS 3.2 et 3.2.1 pour iPad
Impact: le code malveillant s'exécutant car l'utilisateur peut obtenir des privilèges système
Description: il existe un débordement d'entier dans la gestion des propriétés IOSurface, ce qui peut permettre à un code malveillant exécuté en tant qu'utilisateur d'obtenir des privilèges système. Ce problème est résolu par une meilleure vérification des limites.