Langues

À propos du contenu sécuritaire d’iOS 4.3

Ce document décrit le contenu sécuritaire d’iOS 4.3.

Ce document décrit le contenu sécuritaire d’iOS 4.3, qui peut être téléchargé et installé via iTunes.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour obtenir des informations sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez l’article intitulé Mises à jour de sécurité Apple.

iOS 4.3

  • CoreGraphics

    Disponible pour iOS 3.0 à 4.2.1 pour l’iPhone 3GS et versions ultérieures, iOS 3.1 à 4.2.1 pour l’iPod touch (3e génération) et versions ultérieures, iOS 3.2 à 4.2.1 pour l’iPad

    Impact : vulnérabilités multiples dans FreeType

    Description : diverses vulnérabilités existaient dans FreeType, et la plus sérieuse de ces vulnérabilités pouvait entraîner l’exécution arbitraire de code lors du traitement de polices malveillantes. Ces problèmes sont résolus par la mise à jour de FreeType vers la version 2.4.3. Vous trouverez des informations supplémentaires sur le site Web de FreeType à l’adresse http://www.freetype.org/.

    Référence CVE

    CVE-2010-3855

  • ImageIO

    Disponible pour iOS 3.0 à 4.2.1 pour l’iPhone 3GS et versions ultérieures, iOS 3.1 à 4.2.1 pour l’iPod touch (3e génération) et versions ultérieures, iOS 3.2 à 4.2.1 pour l’iPad

    Impact : l’affichage d’une image TIFF malveillante peut entraîner un blocage inattendu des applications l’exécution arbitraire de code

    Description : la gestion par libTIFF des images TIFF encodées en JPEG présente un dépassement de la mémoire tampon. L’affichage d’une image TIFF malveillante peut entraîner un blocage inattendu des applications ou l’exécution arbitraire de code.

    Référence CVE

    CVE-2011-0191 : Apple

  • ImageIO

    Disponible pour iOS 3.0 à 4.2.1 pour l’iPhone 3GS et versions ultérieures, iOS 3.1 à 4.2.1 pour l’iPod touch (3e génération) et versions ultérieures, iOS 3.2 à 4.2.1 pour l’iPad

    Impact : l’affichage d’une image TIFF malveillante peut entraîner un blocage inattendu des applications l’exécution arbitraire de code

    Description : la gestion par libTIFF des images TIFF encodées en CCITT Groupe 4 présente un dépassement de la mémoire tampon. L’affichage d’une image TIFF malveillante peut entraîner un blocage inattendu des applications ou l’exécution arbitraire de code.

    Référence CVE

    CVE-2011-0192 : Apple

  • libxml

    Disponible pour iOS 3.0 à 4.2.1 pour l’iPhone 3GS et versions ultérieures, iOS 3.1 à 4.2.1 pour l’iPod touch (3e génération) et versions ultérieures, iOS 3.2 à 4.2.1 pour l’iPad

    Impact : la visite d’un site Web malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : un problème double se présentait dans la gestion libxml des expressions XPath. La visite d’un site Web malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Référence CVE

    CVE-2010-4494 : Yang Dingning de NCNIPC, Graduate University of Chinese Academy of Sciences

  • Réseau

    Disponible pour iOS 3.0 à 4.2.1 pour l’iPhone 3GS et versions ultérieures, iOS 3.1 à 4.2.1 pour l’iPod touch (3e génération) et versions ultérieures, iOS 3.2 à 4.2.1 pour l’iPad

    Impact : un serveur peut être capable d’identifier un périphérique via les connexions

    Description : l’adresse IPv6 choisie par le périphérique comporte l’adresse MAC du périphérique en mode SLAAC (StateLess Address AutoConfiguration). Un serveur compatible IPv6 contacté par le périphérique peut utiliser l’adresse pour suivre le périphérique au travers de ses connexions. Cette mise à jour implémente l’extension IPv6 décrite dans la norme RFC 3041 en ajoutant une adresse aléatoire temporaire pour les connexions sortantes.

  • Safari

    Disponible pour iOS 3.0 à 4.2.1 pour l’iPhone 3GS et versions ultérieures, iOS 3.1 à 4.2.1 pour l’iPod touch (3e génération) et versions ultérieures, iOS 3.2 à 4.2.1 pour l’iPad

    Impact : la visite d’un site Web malveillant peut entraîner la fermeture de MobileSafari lors du lancement

    Description : un site Web malveillant peut comporter du code JavaScript qui entraîne de manière répétée le lancement d’une autre application sur le périphérique par le biais du gestionnaire d’URL. La visite de ce site Web via MobileSafari entraîne la fermeture de MobileSafari et le lancement de l’application cible. Cette séquence se réitère à chaque ouverture de MobileSafari. Pour résoudre ce problème, il suffit de revenir à la page précédente lors de la réouverture de Safari, après le lancement de l’autre application via le gestionnaire d’URL.

    Référence CVE

    CVE-2011-0158 : Nitesh Dhanjani de Ernst & Young LLP

  • Safari

    Disponible pour iOS 4.0 à 4.2.1 pour l’iPhone 3GS et versions ultérieures, iOS 4.0 à 4.2.1 pour l’iPod touch (3e génération) et versions ultérieures, iOS 4.2 à 4.2.1 pour l’iPad

    Impact : la suppression des cookies dans les réglages Safari n’a aucun effet

    Description : dans certains cas, la suppression des cookies via les réglages Safari pendant que l’exécution de Safari n’a aucun effet. Ce problème est résolu par une meilleure gestion des cookies. Ce problème n’affecte pas les systèmes antérieurs à iOS 4.0.

    Référence CVE

    CVE-2011-0159 : Erik Wong de Google Inc.

  • WebKit

    Disponible pour iOS 3.0 à 4.2.1 pour l’iPhone 3GS et versions ultérieures, iOS 3.1 à 4.2.1 pour l’iPod touch (3e génération) et versions ultérieures, iOS 3.2 à 4.2.1 pour l’iPad

    Impact : la visite d’un site Web malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code

    Description : il existe plusieurs problèmes de corruption de mémoire dans WebKit. La visite d’un site Web malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Référence CVE

    CVE-2010-1792

    CVE-2010-1824 : kuzzcc, et wushi de team509 qui travaille avec Zero Day Initiative de TippingPoint

    CVE-2011-0111 : Sergey Glazunov

    CVE-2011-0112 : Yuzo Fujishima de Google Inc.

    CVE-2011-0113 : Andreas Kling de Nokia

    CVE-2011-0114 : Chris Evans de l’équipe de sécurité de Google Chrome

    CVE-2011-0115 : J23 qui travaille avec Zero Day Initiative de TippingPoint, et Emil A. Eklund de Google, Inc..

    CVE-2011-0116 : chercheur anonyme travaillant avec Zero Day Initiative de TippingPoint

    CVE-2011-0117 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0118 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0119 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0120 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0121 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0122 : Slawomir Blazek

    CVE-2011-0123 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0124 : Yuzo Fujishima de Google Inc.

    CVE-2011-0125 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0126 : Mihai Parparita de Google, Inc.

    CVE-2011-0127 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0128 : David Bloom

    CVE-2011-0129 : Famlam

    CVE-2011-0130 : Apple

    CVE-2011-0131 : wushi de team509

    CVE-2011-0132 : wushi de team509 qui travaille avec Zero Day Initiative de TippingPoint

    CVE-2011-0133 : wushi de team509 qui travaille avec Zero Day Initiative de TippingPoint

    CVE-2011-0134 : Jan Tosovsky

    CVE-2011-0135 : rapporteur anonyme

    CVE-2011-0136 : Sergey Glazunov

    CVE-2011-0137 : Sergey Glazunov

    CVE-2011-0138 : kuzzcc

    CVE-2011-0140 : Sergey Glazunov

    CVE-2011-0141 : Chris Rohlf de Matasano Security

    CVE-2011-0142 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0143 : Slawomir Blazek et Sergey Glazunov

    CVE-2011-0144 : Emil A. Eklund de Google, Inc.

    CVE-2011-0145 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0146 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0147 : Dirk Schulze

    CVE-2011-0148 : Michal Zalewski de Google, Inc.

    CVE-2011-0149 : wushi de team509 qui travaille avec Zero Day Initiative de TippingPoint, et SkyLined de l’équipe de sécurité de Google Chrome

    CVE-2011-0150 : Michael Gundlach de safariadblock.com

    CVE-2011-0151 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0152 : SkyLined de l’équipe de sécurité de Google Chrome

    CVE-2011-0153 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0154 : chercheur anonyme qui travaille avec Zero Day Initiative de TippingPoint

    CVE-2011-0155 : Aki Helin d’OUSPG

    CVE-2011-0156 : Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0157 : Benoît Jacob de Mozilla

    CVE-2011-0168 : Sergey Glazunov

  • WebKit

    Disponible pour iOS 3.0 à 4.2.1 pour l’iPhone 3GS et versions ultérieures, iOS 3.1 à 4.2.1 pour l’iPod touch (3e génération) et versions ultérieures, iOS 3.2 à 4.2.1 pour l’iPad

    Impact : les informations d’authentification de base HTTP peuvent avoir été divulguées sur un autre site par inadvertance

    Description : si un site utilise l’authentification de base HTTP et renvoie vers un autre site, les informations d’authentification peuvent être également envoyées sur cet autre site. Ce problème est résolu par une meilleure gestion des informations d’authentification.

    Référence CVE

    CVE-2011-0160 : McIntosh Cooey de Twelve Hundred Group, Harald Hanche-Olsen, Chuck Hohn de 1111 Internet LLC qui travaille avec CERT, et Paul Hinze de Braintree

  • WebKit

    Disponible pour iOS 3.0 à 4.2.1 pour l’iPhone 3GS et versions ultérieures, iOS 3.1 à 4.2.1 pour l’iPod touch (3e génération) et versions ultérieures, iOS 3.2 à 4.2.1 pour l’iPad

    Impact : la visite d’un site web malveillant peut entraîner des déclarations de style intersite

    Description : la gestion par WebKit de l’accesseur Attr.style présentait un problème lié à des origines multiples. La visite d’un site malveillant peut permettre au site d’intégrer des feuilles de styles CSS dans d’autres documents. Ce problème est résolu par la suppression de l’accesseur Attr.style.

    Référence CVE

    CVE-2011-0161 : Apple

  • WebKit

    Disponible pour iOS 3.0 à 4.2.1 pour l’iPhone 3GS et versions ultérieures, iOS 3.1 à 4.2.1 pour l’iPod touch (3e génération) et versions ultérieures, iOS 3.2 à 4.2.1 pour l’iPad

    Impact : un site Web malveillant risque d’empêcher d’autres sites d’effectuer une requête sur certaines ressources

    Description : la gestion par WebKit des ressources en cache présente un problème d’empoisonnement du cache. Un site Web malveillant risque d’empêcher d’autres sites d’effectuer une requête sur certaines ressources. Ce problème est résolu par un meilleur contrôle des types.

    Référence CVE

    CVE-2011-0163 : Apple

  • Wi-Fi

    Disponible pour iOS 3.0 à 4.2.1 pour l’iPhone 3GS et versions ultérieures, iOS 3.1 à 4.2.1 pour l’iPod touch (3e génération) et versions ultérieures, iOS 3.2 à 4.2.1 pour l’iPad

    Impact : lors de la connexion Wi-Fi, un attaquant sur le même réseau risque d’entraîner une réinitialisation du périphérique

    Description : un problème de vérification des limites existait dans la gestion des images Wi-Fi. Lors de la connexion Wi-Fi, un attaquant sur le même réseau risque d’entraîner une réinitialisation du périphérique.

    Référence CVE

    CVE-2011-0162 : Scott Boyd d’ePlus Technology, inc.

Important : les renseignements concernant des produits non fabriqués par Apple ne sont fournis qu’à titre indicatif et ne constituent ni une recommandation ni une approbation de la part d’Apple. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Dernière modification : 20 juin 2012
Avez-vous trouvé cet article utile ?
Oui
Non
  • Last Modified: 20 juin 2012
  • Article: HT4564
  • Views:

    946
  • Rating:
    • 100.0

    (1 réponses)

Informations supplémentaires relatives à l’assistance produit