À propos des correctifs de sécurité de la mise à jour logicielle iOS 5.1

Ce document décrit le contenu de sécurité de la mise à jour du logiciel iOS 5.1.

Ce document décrit les correctifs de sécurité de la mise à jour logicielle iOS 5.1, qui peut être téléchargée et installée à l’aide d’iTunes.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour obtenir des informations sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

Mise à jour logicielle iOS 5.1

  • CFNetwork

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèles ultérieurs, iPad, iPad 2.

    Conséquence : la consultation de sites Web malveillants peut entraîner la divulgation d’informations confidentielles.

    Description : la gestion des URL défectueuses par CFNetwork présente un problème. Il est probable que CFNetwork envoie des en-têtes de requêtes inattendus lorsque vous tentez d’accéder à une URL malveillante.

    Référence CVE

    CVE-2012-0641 : Erling Ellingsen de Facebook.

  • HFS

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèles ultérieurs, iPad, iPad 2.

    Conséquence : le montage d’une image disque malveillante peut entraîner l’arrêt d’un appareil ou l’exécution arbitraire de code.

    Description : un dépassement d’entier se produit lors du traitement des fichiers du catalogue HFS.

    Référence CVE

    CVE-2012-0642 : pod2g.

  • Noyau

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèles ultérieurs, iPad, iPad 2.

    Conséquence : un programme malveillant peut ignorer les restrictions sandbox.

    Description : la gestion des appels système de débogage présente un problème de logique. Ceci peut permettre à un programme malveillant de déclencher l’exécution de codes dans d’autres programmes, à l’aide des mêmes privilèges d’utilisateur.

    Référence CVE

    CVE-2012-0643 : Jailbreak Dream Team iOS 2012.

  • libresolv

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèles ultérieurs, iPad, iPad 2.

    Conséquence : les applications utilisant la bibliothèque libresolv peuvent se fermer de manière inopinée ou être sujettes à une exécution arbitraire de code.

    Description : un dépassement d’entier se produit lors de la gestion des enregistrements de ressources DNS, ce qui peut entraîner une corruption de la mémoire tampon.

    Référence CVE

    CVE-2011-3453 : Ilja van Sprundel d’IOActive.

  • Verrouillage par code

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèles ultérieurs, iPad, iPad 2.

    Conséquence : une personne pouvant physiquement accéder à l’appareil peut contourner le système de verrouillage de l’écran.

    Description : la gestion des gestes de composition présente un problème de concurrence critique. Ceci permet à une personne pouvant physiquement accéder à un appareil d’ignorer l’écran de verrouillage par mot de passe.

    Référence CVE

    CVE-2012-0644 : Roland Kohler du Ministère fédéral allemand de l'Économie et de la Technologie.

  • Safari

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèles ultérieurs, iPad, iPad 2.

    Conséquence : les visites de page Web peuvent être enregistrées dans l’historique du navigateur, même si la navigation privée est activée.

    Description : la navigation privée de Safari est conçue pour empêcher l’enregistrement d’une session de navigation. Les pages visitées à cause d’un site utilisant les méthodes JavaScript pushState ou replaceState étaient enregistrées dans l’historique du navigateur, même lorsque le mode Navigation privée était activé. Ce problème est résolu par le non-enregistrement de telles visites lorsque la navigation privée est activée.

    Référence CVE

    CVE-2012-0585 : Eric Melville d’American Express.

  • Siri

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèles ultérieurs, iPad, iPad 2.

    Conséquence : un pirate informatique pouvant physiquement accéder à un téléphone verrouillé peut avoir accès au courrier électronique au premier plan.

    Description : les restrictions de verrouillage d’écran de l’application Siri présentent un problème de conception. Si l’application Siri est configurée pour fonctionner alors que l’écran est verrouillé et que l’application Mail est activée par un message sélectionné en mode écran verrouillé, une commande vocale peut être utilisée pour envoyer ce message à un destinataire arbitraire. Ce problème est résolu par la désactivation de l’option de transfert de messages actifs quand l’écran est verrouillé.

    Référence CVE

    CVE-2012-0645

  • VPN

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèles ultérieurs, iPad, iPad 2.

    Conséquence : un fichier de configuration système malveillant peut conduire à l’exécution arbitraire de code avec des privilèges système.

    Description : la gestion des fichiers de configuration racoon présente une vulnérabilité au niveau de la chaîne de format.

    Référence CVE

    CVE-2012-0646 : pod2g.

  • WebKit

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèles ultérieurs, iPad, iPad 2.

    Conséquence : la consultation de sites Web malveillants peut provoquer la divulgation de cookies.

    Description : WebKit présentait un problème d’origines multiples qui pouvait entraîner la divulgation de cookies au niveau des origines.

    Référence CVE

    CVE-2011-3887 : Sergey Glazunov.

  • WebKit

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèles ultérieurs, iPad, iPad 2.

    Conséquence : la consultation d’un site Web malveillant et le déplacement de contenu avec la souris peuvent entraîner une attaque de scriptage inter-sites.

    Description : WebKit présentait un problème d’origines multiples qui pouvait entraîner le déplacement de contenu au niveau des origines.

    Référence CVE

    CVE-2012-0590 : Adam Barth de l’équipe de sécurité de Google Chrome.

  • WebKit

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèles ultérieurs, iPad, iPad 2.

    Conséquence : la consultation d’un site Web malveillant peut entraîner une attaque de scriptage inter-sites.

    Description : WebKit présente plusieurs problèmes d’origines multiples.

    Référence CVE

    CVE-2011-3881 : Sergey Glazunov.

    CVE-2012-0586 : Sergey Glazunov.

    CVE-2012-0587 : Sergey Glazunov.

    CVE-2012-0588 : Jochen Eisinger de l’équipe Google Chrome.

    CVE-2012-0589 : Alan Austin de polyvore.com.

  • WebKit

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèles ultérieurs, iPad, iPad 2.

    Conséquence : la consultation d’un site Web malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : WebKit présentait plusieurs problèmes de corruption de la mémoire.

    Référence CVE

    CVE-2011-2825 : Wushi de team509, en collaboration avec le programme Zero Day Initiative de TippingPoint.

    CVE-2011-2833 : Apple.

    CVE-2011-2846 : Arthur Gerkis, Miaubiz.

    CVE-2011-2847 : Miaubiz, Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2011-2854 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2011-2855 : Arthur Gerkis, Wushi de team509, en collaboration avec iDefense VCP.

    CVE-2011-2857 : Miaubiz.

    CVE-2011-2860 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2011-2867 : Dirk Schulze.

    CVE-2011-2868 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2011-2869 : Cris Neckar de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2011-2870 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2011-2871 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2011-2872 : Abhishek Arya (Inferno) et Cris Neckar de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2011-2873 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2011-2877 : Miaubiz.

    CVE-2011-3885 : Miaubiz.

    CVE-2011-3888 : Miaubiz.

    CVE-2011-3897 : Pa_kt en collaboration avec le programme Zero Day Initiative de TippingPoint.

    CVE-2011-3908 : Aki Helin d’OUSPG.

    CVE-2011-3909 : équipe de sécurité de Google Chrome (scarybeasts) et Chu.

    CVE-2011-3928 : Wushi de team509, en collaboration avec le programme Zero Day Initiative de TippingPoint.

    CVE-2012-0591 : Miaubiz et Martin Barbella.

    CVE-2012-0592 : Alexander Gavrun, en collaboration avec le programme Zero Day Initiative de TippingPoint.

    CVE-2012-0593 : Lei Zhang de la communauté de développement Chromium.

    CVE-2012-0594 : Adam Klein de la communauté de développement Chromium.

    CVE-2012-0595 : Apple.

    CVE-2012-0596 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2012-0597 : Miaubiz.

    CVE-2012-0598 : Sergey Glazunov.

    CVE-2012-0599 : Dmytro Gorbunov de SaveSources.com.

    CVE-2012-0600 : Marshall Greenblatt, Dharani Govindan de Google Chrome, Miaubiz, Aki Helin d’OUSPG, Apple.

    CVE-2012-0601 : Apple.

    CVE-2012-0602 : Apple.

    CVE-2012-0603 : Apple.

    CVE-2012-0604 : Apple.

    CVE-2012-0605 : Apple.

    CVE-2012-0606 : Apple.

    CVE-2012-0607 : Apple.

    CVE-2012-0608 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2012-0609 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2012-0610 : Miaubiz, Martin Barbella utilisant AddressSanitizer.

    CVE-2012-0611 : Martin Barbella utilisant AddressSanitizer.

    CVE-2012-0612 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2012-0613 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2012-0614 : Miaubiz, Martin Barbella utilisant AddressSanitizer.

    CVE-2012-0615 : Martin Barbella utilisant AddressSanitizer.

    CVE-2012-0616 : Miaubiz.

    CVE-2012-0617 : Martin Barbella utilisant AddressSanitizer.

    CVE-2012-0618 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2012-0619 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2012-0620 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2012-0621 : Martin Barbella utilisant AddressSanitizer.

    CVE-2012-0622 : Dave Levin et Abhishek Arya de l’équipe de sécurité de Google Chrome.

    CVE-2012-0623 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2012-0624 : Martin Barbella utilisant AddressSanitizer.

    CVE-2012-0625 : Martin Barbella.

    CVE-2012-0626 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2012-0627 : Apple.

    CVE-2012-0628 : Slawomir Blazek, Miaubiz, Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2012-0629 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-0630 : Sergio Villar Senin d’Igalia.

    CVE-2012-0631 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-0632 : Cris Neckar de l’équipe de sécurité de Google Chrome utilisant AddressSanitizer.

    CVE-2012-0633 : Apple.

    CVE-2012-0635 : Julien Chaffraix de la communauté de développement Chromium, Martin Barbella utilisant AddressSanitizer.

Important : les renseignements concernant des produits non fabriqués par Apple ne sont fournis qu’à titre indicatif et ne constituent ni une recommandation ni une approbation de la part d’Apple. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Dernière modification:
Avez-vous trouvé cet article utile ?

Informations supplémentaires relatives à l’assistance produit

France (Français)