Discussion :

[Idelways]

Apple patche la faille critique qui touche iOS
Safari Mobile et les PDF, et permettait le Jailbreak des iPhones

Mise à jour du 12/08/10


Apple n'a pas tardé à réagir face à la gravité (et la simplicité) des exploits rendus possibles par la faille découverte la semaine dernière.

Pour mémoire, cette faille concerne la manière dont Safari Mobile gère les PDF. Un code malicieux utilisant cette vulnérabilité pourrait s'affranchir de la sandbox protectrice d'iOS et obtenir les droits root (lire ci-avant).

Un site, Jailbreakme.com, avait même utilisé la méthode pour proposer le déverrouillage en ligne des terminaux mobiles. Un exploit légal et surtout non-malicieux, mais qui aurait pu donner des idées à des hackers moins bien intentionnés (des pirates donc).

Pour éviter cette situation désagréable, Apple vient de sortir un patch qui sécurise la manière dont le navigateur mobile d'Apple gère les PDF.

Ce correctif est disponible via iTunes. Il est également livré avec les versions 4.0.2 de iOS (pour l'iPhone et l'iPod Touch) et la 3.2.2 pour l'iPad.

Il est - bien évidemment - très fortement recommandé de faire ces mises à jour et de l'appliquer le plus rapidement possible.

Si vous voulez garder le contrôle de votre appareil bien sûr.


Et vous ?

Pensez-vous que la réaction d'Apple et sa rapidité ont été exemplaire dans cette affaire ? Ou au contraire qu'Apple peu tmieux faire ?

MAJ de Gordon Fowler



Une faille dans iOS permet de prendre le contrôle des appareils d'Apple
iPhone, iPad et iPod sont touchés, Apple s'inquiète


Contrairement aux « Jailbreaks » précédents, qui nécessitaient que l'iPhone soit connecté à un ordinateur, la dernière méthode de déverrouillage de iOS 4 peut se faire via un site Web (jailbreakme.com) avec comme seul outil le navigateur Safari.

Or, si un Jailbreak peut être effectué avec Safari, on imagine facilement les potentialités de prise de contrôle à distance de l'iPhone (ou de l'iPod touch ou de l'iPad).

Cette méthode de déverrouillage s'appuie en fait sur une faille, liée au lecteur PDF. Une faille de chargement des polices de caractère du lecteur plus précisément. Un code malicieux qui exploite cette vulnérbilité pourrait même s'affranchir de la sandbox protectrice d'iOS 4 et obtenir les droits root.

Résultat : un accès sans restriction à tout l'appareil sur toutes les versions de l'iOS, exceptée, peut-être la 4.1 bêta actuellement en cours de tests.

Si Jailbreakme.com est pour le moment le seul exploit de cette faille, un exploit légal et surtout non-malicieux, d'autres hackers mal intentionnés eux, pourraient analyser et décompiler le code de cette méthode pour l'utiliser dans des applications nettement moins recommandables.

Apple a reconnu le problème et semble être préoccupé par cette vulnérabilité.

Aucune date n'est en revanche annoncée pour colmater cette faille importante.

En attendant, le site Mac Stories propose une méthode pour prévenir le chargement automatique des PDF sur iOS (Anglais).


Source : Dépêche de Reuters



Lire aussi :

Les cybercriminels exploitent le déverrouillage de l'iPhone pour propager leurs malwares en utilisant des techniques d'ingénierie sociale

La justice américaine rend légal le jailbreak de l'iPhone, victoire ou aberration ?

Les ventes d'Android auraient dépassé celles de l'iPhone aux Etats-Unis : retournement du marché ou simple attente de l'iPhone 4 ?



Les rubriques (actu, forums, tutos) de Développez :

Mac
Sécurité
Mobile
Systèmes



Et vous ?

En tant qu'utilisateurs de l'iPhone/iPad/iPod Touch, la présence de cette faille changera-t-elle vos habitudes d'utilisation et de navigation ?

Les produits Apple sont-ils si sécurisés ?



En collaboration avec Gordon Fowler

[grafikm_fr]

Cette méthode de déverrouillage s'appuie en fait sur une faille, lié au lecteur PDF.

Je sens que Steve Jobs va donner une conférence de presse pour nous expliquer que c'est un complot d'Adobe destiné à entacher l'immaculée réputation d'Apple...

[worm83]

J'aurais pensé qu'ils avaient un lecteur PDF maison, ou d'un autre éditeur mais pas d'adobe (qui je pensais assez fière pour ne plus développer sur Iphone).

Ps : ce n'est pas une critique juste ce que je croyais.

[spidermario]

J'aurais pensé qu'ils avaient un lecteur PDF maison, ou d'un autre éditeur mais pas d'adobe (qui je pensais assez fière pour ne plus développer sur Iphone).

Ps : ce n'est pas une critique juste ce que je croyais.

Où est-il écrit que le lecteur est d'Adobe ?

[FailMan]

Attendez, Steve Jobs va vous montrer comment on lit des fichiers PDF

Où est-il écrit que le lecteur est d'Adobe ?

Duquel s'agit-il, plus précisément ?

[umeboshi]

Je sens que Steve Jobs va donner une conférence de presse pour nous expliquer que c'est un complot d'Adobe destiné à entacher l'immaculée réputation d'Apple...

J'aime bien ça ne m'étonnerai pas mais c'est un peu gros quand même !
Ou alors : "vous voyez le jailbreak c'est légal, mais c'est mal"

Le plus marrant c'est que ceux qui l'ont jailbreaké sont mieux protégés contre la faille, que ceux qui ne le sont pas

[worm83]

Où est-il écrit que le lecteur est d'Adobe ?

Bah justement nul part c'était par rapport à la remarque de grafikm_fr.

[JeffPalmier]

Envoyé par spidermario
Où est-il écrit que le lecteur est d'Adobe ?

Je ne pense pas que ce soit le lecteur PDF d'adobe mais plutôt un lecteur développé par Apple.

[Jcpan]

Attendez, Steve Jobs va vous montrer comment on lit des fichiers PDF



Duquel s'agit-il, plus précisément ?

on s'attend à ça ....

[grafikm_fr]

Bah justement nul part c'était par rapport à la remarque de grafikm_fr.

Faudrait apprendre à distinguer les posts ironiques des posts sérieux quand même

[Caly4D]

Faudrait apprendre à distinguer les posts ironiques des posts sérieux quand même

les smileys ne suffisent plus, il nous faut des balises [ ironie] [ /ironie]

[Génoce]

les smileys ne suffisent plus, il nous faut des balises [ ironie] [ /ironie]

[ ironie]
Je propose des balises [ Troll mac] [ Troll Windows] pour la taverne!
[ /ironie]

[worm83]

Faudrait apprendre à distinguer les posts ironiques des posts sérieux quand même

J'avais compris l'ironie... c'était plus une question/remarque qu'une remarque, étant totalement ignorant à ce sujet.

[Shemsu-Hor]

Avec toutes ces histoires (failles, problème de réception sur l'iphone 4, ...) et la montée en puissance d'Android, les temps sont durs pour Apple. Il faudrait surtout pas que Jobs prenne une fois de plus les utilisateurs pour des idiots et qu'Apple réagisse vite et bien surtout...

Dire qu'il n'y a pas si longtemps, certains fanboys critiquaient Android car il n'etait pas possible de rooter le système via site web...

[GanYoshi]

Dire qu'il n'y a pas si longtemps, certains fanboys critiquaient Android car il n'etait pas possible de rooter le système via site web...

C'est sûr que l'avantage avec l'iPhone c'est qu'on peut tout faire via un site web

Sinon c'est la première fois que je vois un faille dévoilée avec une application non seulement légale mais sûrement aussi commerciale (je suppose qu'il y a des publicités sur le site).

[trenton]

En même temps, un système sans faille ça n'existe pas, l'important c'est de savoir dans combien de temps la correction sera proposée aux utilisateurs.

[Louis Griffont]

En même temps, un système sans faille ça n'existe pas, l'important c'est de savoir dans combien de temps la correction sera proposée aux utilisateurs.

C'est pas le même discours que quand c'est Microsoft qui est touché ! Etonnant, non ?

[trenton]

C'est pas le même discours que quand c'est Microsoft qui est touché ! Etonnant, non ?

Non c'est la même chose pour tout le monde.

[Hellwing]

Autant ça serait intéressant de voir comment les Apple Fanboys perçoivent cette attaque, autant vu l'accueil que vous préparez je doute qu'ils viennent puisqu'ils savent qu'ils vont faire lyncher s'ils postent ici.

Bien que je sois d'accord avec l'ensemble des intervenants, ça serait pas mal de mettre l'animosité anti-Apple de côté, pour rendre le débat plus constructif. Parce que les attaques gratuites, ça va 5 minutes.

[Lyche]

Après ça j'espère que certains fan reverront un peu leur jugement quant à la manifestation de pirates lorsqu'un intérêt commerciale commence à être palpable..
Là où il y a de l'argent, les pirates ne sont pas loins et plus il y a d'utilisateurs, plus il y a d'argent.. J'attends le premier vrai virus pour rigoler un peu.