Langues

À propos des correctifs de sécurité de la mise à jour logicielle iOS 5.0.1

Ce document décrit le contenu sécuritaire d’iOS 5.0.1.

Ce document décrit les correctifs de sécurité d’iOS 5.0.1, pouvant être téléchargés et installés via iTunes.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour obtenir des informations sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

Mise à jour logicielle iOS 5.0.1

  • CFNetwork

    Disponible pour : iOS 3.0 à 5.0 pour iPhone 3GS, iPhone 4 et iPhone 4S, iOS 3.1 à 5.0 pour iPod touch (3e génération et modèles ultérieurs), iOS 3.2 à 5.0 pour iPad, iOS 4.3 à 5.0 pour iPad 2.

    Conséquence : la consultation de sites Web conçus de manière malveillante peut entraîner la divulgation d’informations confidentielles.

    Description : un problème existait au niveau de la gestion par CFNetwork des URL conçues de manière malveillante. Lors de l’accès à une URL de type HTTP ou HTTPS conçue de manière malveillante, CFNetwork pouvait naviguer vers un serveur incorrect.

    Référence CVE

    CVE-2011-3246 : Erling Ellingsen de Facebook.

  • CoreGraphics

    Disponible pour : iOS 3.0 à 5.0 pour iPhone 3GS, iPhone 4 et iPhone 4S, iOS 3.1 à 5.0 pour iPod touch (3e génération et modèles ultérieurs), iOS 3.2 à 5.0 pour iPad, iOS 4.3 à 5.0 pour iPad 2.

    Conséquence : l’affichage d’un document comportant une police conçue de manière malveillante peut provoquer l’exécution arbitraire de code.

    Description : FreeType présente plusieurs vulnérabilités au niveau de la mémoire, la plus grave pouvant entraîner l’exécution arbitraire de code lors du traitement d’une police conçue de manière malveillante.

    Référence CVE

    CVE-2011-3439 : Apple.

  • Sécurité des données

    Disponible pour : iOS 3.0 à 5.0 pour iPhone 3GS, iPhone 4 et iPhone 4S, iOS 3.1 à 5.0 pour iPod touch (3e génération et modèles ultérieurs), iOS 3.2 à 5.0 pour iPad, iOS 4.3 à 5.0 pour iPad 2.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut être en mesure d’intercepter les informations d’identification de l’utilisateur ou d’autres données sensibles.

    Description : deux autorités de certification incluses dans la liste des certificats racine de confiance ont délivré des certificats intermédiaires à DigiCert Malaysia de manière indépendante. DigiCert Malaysia a délivré des certificats comprenant des clés faibles qu’il n’est pas à même de révoquer. Un attaquant bénéficiant d’une position privilégiée sur le réseau pouvait intercepter les données d’identification de l’utilisateur ou d’autres informations confidentielles destinées à un site Web doté d’un certificat délivré par DigiCert Malaysia. Ce problème est résolu par la configuration des réglages de confiance par défaut du système afin que les certificats de DigiCert Malaysia ne soient plus considérés comme des certificats de confiance. Nous remercions Bruce Morton d’Entrust, Inc. de nous avoir signalé ce problème.

  • Noyau

    Disponible pour : iOS 3.0 à 5.0 pour iPhone 3GS, iPhone 4 et iPhone 4S, iOS 3.1 à 5.0 pour iPod touch (3e génération et modèles ultérieurs), iOS 3.2 à 5.0 pour iPad, iOS 4.3 à 5.0 pour iPad 2.

    Conséquence : une application peut exécuter un code non signé.

    Description : une erreur de logique existait au niveau de la vérification par l’appel système mmap des combinaisons valides de drapeaux. Ce problème peut entraîner un contournement des vérifications de signature de code. Ce problème n’affecte pas les appareils exécutant les version d’iOS antérieures à la version 4.3.

    Référence CVE

    CVE-2011-3442 : Charlie Miller d’Accuvant Labs.

  • libinfo

    Disponible pour : iOS 3.0 à 5.0 pour iPhone 3GS, iPhone 4 et iPhone 4S, iOS 3.1 à 5.0 pour iPod touch (3e génération et modèles ultérieurs), iOS 3.2 à 5.0 pour iPad, iOS 4.3 à 5.0 pour iPad 2.

    Conséquence : la consultation de sites Web conçus de manière malveillante peut provoquer la divulgation d’informations confidentielles.

    Description : un problème existait au niveau de la gestion par la commande libinfo des domaines de recherche DNS. Lors de la résolution d’un problème dû à un nom d’hôte conçu de manière malveillante, la commande libinfo pouvait fournir un résultat incorrect.

    Référence CVE

    CVE-2011-3441 : Erling Ellingsen de Facebook, Per Johansson de Blocket AB.

  • Verrouillage par code

    Disponible pour : iOS 4.3 à 5.0 pour iPad 2.

    Conséquence : une personne disposant d’un accès physique à un iPad 2 verrouillé peut être en mesure d’accéder à certaines données de l’utilisateur.

    Description : lorsque la Smart Cover d’un iPad 2 est soulevée alors que ce dernier est hors tension et verrouillé, l’iPad ne requiert aucun mot de passe. Ceci permet d’accéder à certaines données se trouvant sur l’iPad. Cependant, il est impossible d’accéder aux données protégées par la fonction Protection des données, et les applications ne peuvent pas être lancées.

    Référence CVE

    CVE-2011-3440

 

Important : les renseignements concernant des produits non fabriqués par Apple ne sont fournis qu’à titre indicatif et ne constituent ni une recommandation ni une approbation de la part d’Apple. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Important : les mentions de sites Web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Dernière modification : 6 juin 2012
Avez-vous trouvé cet article utile ?
Oui
Non
  • Last Modified: 6 juin 2012
  • Article: HT5052
  • Views:

    null

Informations supplémentaires relatives à l’assistance produit