À propos du contenu sécuritaire de iPhone v2.1

  • Dernière modification : 20 juillet, 2009
  • Article : HT3129

Résumé

Ce document décrit le contenu sécuritaire de iPhone v2.1.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas disponibles. Pour en savoir plus sur la sécurité produit d'Apple, consultez le site WebSécurité produit d'Apple.

Pour plus d'informations concernant la clé PGP de la sécurité produit d'Apple, consultez « Comment utiliser la clé PGP de la sécurité produit d'Apple. »

Les identifiants CVE sont utilisées dans la mesure du possible pour répertorier les vulnérabilités afin de fournir plus d'informations.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez « Mises à jour de la sécurité Apple. »

 

Produits concernés

iPhone, Sécurité produit

iPhone v2.1

  • Application Sandbox

    CVE-ID : CVE-2008-3631

    Disponible pour : iPhone v2.0 - v2.0.2

    Impact : une application peut lire les fichiers d'une autre application.

    Description : l'application Sandbox n'exécute pas correctement les restrictions d'accès entre les applications de tierce partie. Cela permet à une application de tierce partie de lire les fichiers dans le sandbox d'une application de tierce partie, et peut également entraîner la divulgation d'informations confidentielles. Cette mise à jour résout le problème en appliquant les restrictions d'accès appropriées entre les applications Sandbox. Nous remercions Nicolas Seriot de Sen:te et Bryce Cogswell pour avoir signalé ce problème. Ce problème n'affecte pas les versions de iPhone antérieures à la version 2.0.

  • CoreGraphics

    CVE-ID : CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Disponible pour : iPhone v1.0 - v2.0.2

    Impact : de multiples vulnérabilités détectées dans FreeType v2.3.5

    Description : de multiples vulnérabilités existent dans FreeType v2.3.5, la plus grave pouvant mener à une exécution arbitraire du code lors de l'accès aux données de police malveillantes. Cette mise à jour résout le problème en intégrant des corrections de sécurité de la version 2.3.6 de FreeType - http://www.freetype.org/.

  • mDNSResponder

    CVE-ID : CVE-2008-1447

    Disponible pour : iPhone v1.0 - v2.0.2

    Impact : mDNSResponder est susceptible d'empoisonner le cache DNS et peut renvoyer des informations erronées.

    Description : mDNSResponder fournit une transcription entre les adresses Internet et les adresses IP pour les applications qui utilisent son API de résolution DNS de monodiffusion. Une faille dans le protocole DNS permet à un utilisateur malveillant d'effectuer à distance des attaques par empoisonnement de cache DNS. Par conséquent, les applications qui reposent sur mDNSResponder pour le DNS risquent de recevoir des informations erronées. Cette mise à jour résout le problème en appliquant une randomisation du port source et de la transaction de l'ID pour améliorer la résistance aux attaques par empoisonnement de cache. Nous remercions Dan Kaminsky de IOActive pour avoir signalé ce problème.

  • Réseau

    CVE-ID : CVE-2008-3612

    Disponible pour : iPhone v2.0 - v2.0.2

    Impact : la génération des numéros de séquence initiale TCP prévisible peut mener à une usurpation de TCP ou à un piratage de session.

    Description : les numéros de séquence initiale TCP sont générés séquentiellement. Les numéros de séquence initiale prévisibles permettent à un utilisateur malveillant de créer une connexion TCP falsifiée ou d'insérer des données dans une connexion TCP existante. Cette mise à jour résout le problème en générant de manière aléatoire des numéros de séquence initiale TCP. Ce problème n'affecte pas les versions de iPhone antérieures à v2.0

  • Verrouillage par code

    CVE-ID : CVE-2008-3633

    Disponible pour : iPhone v2.0 - v2.0.2

    Impact : une personne non-autorisée peut contourner le verrouillage par code et lancer des applications iPhone.

    Description : le verrouillage par code permet de lancer les applications uniquement si le bon code est entré. Un problème d'implémentation dans la gestion des appels d'urgence permet aux utilisateurs disposant d'un accès physique à un iPhone de lancer une application sans code en double-cliquant sur le bouton du menu principal pour un appel d'urgence. Cette mise à jour résout le problème en améliorant la gestion des appels d'urgence. Nous remercions Matthew Yohe du département d'ingénierie électrotechnique et informatique de la University of Iowa pour avoir signalé ce problème. Ce problème n'affecte pas les versions de iPhone antérieures à v2.0.

  • WebKit

    CVE-ID : CVE-2008-3632

    Disponible pour : iPhone v1.0 - v2.0.2

    Impact : la consultation·d’un site Web malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code.

    Description : un problème survient dans la gestion des relevés d'importation CSS de WebKit. La consultation d’un site Web malveillant peut entraîner l'interruption inopinée d'une application ou l'exécution arbitraire de code. Cette mise à jour résout le problème en améliorant la gestion des références de document.

Not helpful Somewhat helpful Helpful Very helpful Solved my problem