Langues

À propos des correctifs de sécurité d’iOS 6

Consultez cet article pour en savoir plus sur les correctifs de sécurité d’iOS 6, pouvant être téléchargés et installés à l’aide d’iTunes.

Ce document décrit les correctifs de sécurité d’iOS 6.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour obtenir des informations sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

iOS 6

  • CFNetwork

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : la consultation d’un site Web malveillant peut provoquer la divulgation d’informations confidentielles.

    Description : un problème existait au niveau de la gestion par CFNetwork des URL défectueuses. CFNetwork pouvait envoyer des requêtes à un nom d’hôte incorrect, provoquant ainsi la divulgation d’informations confidentielles. Ce problème a été résolu par une meilleure gestion des URL.

    Référence CVE

    CVE-2012-3724 : Erling Ellingsen de Facebook.

  • CoreGraphics

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : plusieurs vulnérabilités existent dans FreeType.

    Description : plusieurs vulnérabilités existaient dans FreeType, la plus grave pouvant entraîner l’exécution arbitraire de code lors du traitement d’une police malveillante. Ces problèmes ont été résolus par la mise à jour de FreeType vers la version 2.4.9. Des informations supplémentaires sont disponibles sur le site de FreeType à l’adresse http://www.freetype.org/.

    Référence CVE

    CVE-2012-1126

    CVE-2012-1127

    CVE-2012-1128

    CVE-2012-1129

    CVE-2012-1130

    CVE-2012-1131

    CVE-2012-1132

    CVE-2012-1133

    CVE-2012-1134

    CVE-2012-1135

    CVE-2012-1136

    CVE-2012-1137

    CVE-2012-1138

    CVE-2012-1139

    CVE-2012-1140

    CVE-2012-1141

    CVE-2012-1142

    CVE-2012-1143

    CVE-2012-1144

  • CoreMedia

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : la lecture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème d’accès à la mémoire non initialisée existait au niveau de la gestion des fichiers vidéo encodés au format Sorenson. Ce problème a été résolu par une meilleure initialisation de la mémoire.

    Référence CVE

    CVE-2012-3722 : Will Dormann du CERT/CC.

  • DHCP

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : un réseau Wi-Fi malveillant peut identifier les réseaux auxquels l’appareil a accédé avant.

    Description : suite à la connexion à un réseau Wi-Fi, iOS pouvait diffuser les adresses MAC des réseaux auxquels l’appareil a accédé auparavant via le protocole DNAv4. Ce problème a été résolu par la désactivation du protocole DNAv4 sur les réseaux Wi-Fi non chiffrés.

    Référence CVE

    CVE-2012-3725 : Mark Wuergler d’Immunity, Inc.

  • ImageIO

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : l’affichage d’un fichier TIFF malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion par libtiff des fichiers TIFF encodés en ThunderScan. Ce problème a été résolu par la mise à jour de libtiff vers la version 3.9.5.

    Référence CVE

    CVE-2011-1167

  • ImageIO

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : l’affichage d’une image PNG malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : plusieurs problèmes de corruption de la mémoire existaient au niveau de la gestion des images PNG par libpng. Ces problèmes ont été résolus par une meilleure validation des images PNG.

    Référence CVE

    CVE-2011-3026 : Jüri Aedla.

    CVE-2011-3048

    CVE-2011-3328

  • ImageIO

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : l’affichage d’une image JPEG malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème double existait au niveau de la gestion par ImageIO des images JPEG. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2012-3726 : Phil de PKJE Consulting.

  • ImageIO

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : l’affichage d’une image TIFF conçue de manière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de dépassement d’entier existait au niveau de la gestion par libTIFF des images TIFF. Ce problème a été résolu par une meilleure validation des images TIFF.

    Référence CVE

    CVE-2012-1173 : Alexander Gavrun en collaboration avec le programme Zero Day Initiative de HP.

  • Composants internationaux pour Unicode

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : les applications utilisant ICU peuvent se fermer de manière inopinée ou être sujettes à une exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon de la pile existait au niveau de la gestion des identifiants locaux ICU. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2011-4599

  • IPSec

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : le chargement d’un fichier de configuration racoon malveillant peut entraîner l’exécution arbitraire de code.

    Description : un problème de dépassement de la mémoire tampon existait au niveau de la gestion des fichiers de configuration racoon. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2012-3727 : Jailbreak Dream Team iOS.

  • Noyau

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de déréférence de pointeur invalide existait au niveau de la gestion par le noyau des appels système ioctl de filtre de paquets. Ceci pouvait permettre à un attaquant d’altérer la mémoire du noyau. Ce problème a été résolu par une meilleure gestion des erreurs.

    Référence CVE

    CVE-2012-3728 : Jailbreak Dream Team iOS.

  • Noyau

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : un problème d’accès à la mémoire non initialisée existait au niveau de l’interprète du filtre Berkeley Packet Filter, ce qui entraînait la divulgation du contenu de la mémoire. Ce problème a été résolu par une meilleure initialisation de la mémoire.

    Référence CVE

    CVE-2012-3729 : Dan Rosenberg.

  • libxml

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : l’affichage d’une page Web malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : libxml présentait plusieurs vulnérabilités, la plus grave pouvant entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ces problèmes ont été résolus par l’application des correctifs appropriés.

    Référence CVE

    CVE-2011-1944 : Chris Evans de l’équipe de sécurité de Google Chrome.

    CVE-2011-2821 : Yang Dingning de NCNIPC, Graduate University of Chinese Academy of Sciences.

    CVE-2011-2834 : Yang Dingning de NCNIPC, Graduate University of Chinese Academy of Sciences.

    CVE-2011-3919 : Jüri Aedla.

  • Mail

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : Mail peut adjoindre la mauvaise pièce jointe à un message.

    Description : un problème logique existait au niveau de la gestion des pièces jointes par Mail. Si une pièce jointe ultérieure utilisait le même identifiant de contenu que la pièce jointe précédente, cette dernière était affichée, même si les deux courriers électroniques provenaient d’expéditeurs différents. Ceci pouvait favoriser les actes malveillants ou de hameçonnage. Ce problème a été résolu par une meilleure gestion des pièces jointes.

    Référence CVE

    CVE-2012-3730 : Angelo Prado de l’équipe de sécurité produit de salesforce.com.

  • Mail

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : les pièces jointes peuvent être lues sans que le mot de passe de l’utilisateur ne soit nécessaire.

    Description : un problème logique existait au niveau de l’utilisation par Mail de la fonctionnalité de protection des données avec les pièces jointes. Ce problème a été résolu par l’attribution correcte de la fonctionnalité Protection des données aux pièces jointes.

    Référence CVE

    CVE-2012-3731 : Stephen Prairie de Travelers Insurance, Erich Stuntebeck d’AirWatch.

  • Mail

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : un attaquant peut effectuer des actions malveillantes à l’encontre de l’expéditeur d’un message S/MIME signé.

    Description : les messages S/MIME signés indiquaient l’adresse d’expédition non fiable plutôt que le nom associé à l’identité de la personne ayant signé le message. Ce problème a été résolu par l’affichage de l’adresse associée à l’identité de la personne ayant signé le message, lorsque disponible.

    Référence CVE

    CVE-2012-3732 : un chercheur anonyme.

  • Messages

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : un utilisateur peut divulguer, de manière non intentionnelle, l’existence de son adresse électronique.

    Description : lorsqu’un utilisateur disposait de plusieurs adresses électroniques associées à l’application iMessage, le fait de répondre à un message pouvait entraîner l’envoi de la réponse à partir d’une adresse électronique différente. Ceci pouvait entraîner la divulgation d’une autre adresse électronique associée au compte de l’utilisateur. Ce problème a été résolu par l’envoi systématique d’une réponse à partir de l’adresse électronique à l’aide de laquelle le message d’origine a été envoyé.

    Référence CVE

    CVE-2012-3733 : Rodney S. Foley de Gnomesoft, LLC.

  • Office Viewer

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : les données non chiffrées d’un document peuvent être écrasées sur un fichier temporaire.

    Description : un problème de divulgation d’informations existait au niveau de la prise en charge de l’affichage des fichiers Microsoft Office. Lors de l’affichage d’un document, Office Viewer créait un fichier temporaire contenant des données du document affiché dans le répertoire temporaire du processus d’invocation. En cas d’application utilisant la fonctionnalité de protection des données ou d’autres procédés de chiffrement pour protéger les fichiers de l’utilisateur, ceci pouvait entraîner la divulgation d’informations. Ce problème a été résolu en évitant de créer des fichiers temporaires lors de l’affichage de documents Office.

    Référence CVE

    CVE-2012-3734 : Salvatore Cataudella d’Open Systems Technologies.

  • OpenGL

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : les applications utilisant la mise en œuvre OpenGL d’OS X peuvent être sujettes à une fermeture inopinée ou à l’exécution arbitraire de code.

    Description : plusieurs problèmes de corruption de la mémoire existaient au niveau de la gestion de la compilation GLSL. Ces problèmes ont été résolus par une meilleure validation des shaders GLSL.

    Référence CVE

    CVE-2011-3457 : Chris Evans de l’équipe de sécurité de Google Chrome et Marc Schoenefeld du service relations de l’équipe de sécurité de Red Hat.

  • Verrouillage par code

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : une personne disposant d’un accès physique à l’appareil peut afficher brièvement la dernière application tierce utilisée sur un appareil verrouillé.

    Description : un problème logique existait au niveau de l’affichage du curseur Éteindre sur l’écran de verrouillage. Ce problème a été résolu par une meilleure gestion du mode Verrouillé.

    Référence CVE

    CVE-2012-3735 : Chris Lawrence DBB.

  • Verrouillage par code

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : une personne pouvant physiquement accéder à l’appareil peut contourner le système de verrouillage de l’écran.

    Description : un problème logique existait lors de l’interruption d’appels FaceTime à partir de l’écran de verrouillage. Ce problème a été résolu par une meilleure gestion du mode Verrouillé.

    Référence CVE

    CVE-2012-3736 : Ian Vitek de 2Secure AB.

  • Verrouillage par code

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : il est possible d’accéder à toutes les photos à partir de l’écran de verrouillage.

    Description : un problème de conception existait au niveau de la prise en charge de l’affichage de photos prises à partir de l’écran de verrouillage. Afin d’identifier les photos pour lesquelles un accès pouvait être autorisé, le système de verrouillage par mot de passe s’appuyait sur l’heure à laquelle l’appareil avait été verrouillé, et comparait celle-ci à l’heure à laquelle une photo avait été prise. En modifiant l’heure actuelle, un attaquant pouvait obtenir l’accès aux photos ayant été prises avant le verrouillage de l’appareil. Ces problèmes ont été résolus par un suivi explicite des photos ayant été prises lorsque l’appareil était verrouillé.

    Référence CVE

    CVE-2012-3737 : Ade Barkah de BlueWax Inc.

  • Verrouillage par code

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : une personne disposant d’un accès physique à un appareil verrouillé peut initier des appels FaceTime.

    Description : un problème logique existait au niveau de l’écran Composeur de numéros d’urgence, ce qui permettait l’initialisation d’appels FaceTime via la fonctionnalité Composition vocale sur l’appareil verrouillé. Ceci pouvait également entraîner la divulgation des contacts de l’utilisateur par le biais des suggestions de contacts. Ce problème a été résolu par la désactivation de la fonctionnalité Composition vocale sur l’écran Composeur de numéros d’urgence.

    Référence CVE

    CVE-2012-3738 : Ade Barkah de BlueWax Inc.

  • Verrouillage par code

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : une personne pouvant physiquement accéder à l’appareil peut contourner le système de verrouillage de l’écran.

    Description : l’utilisation de l’appareil photo à partir de l’écran de verrouillage pouvait, parfois, interférer avec la fonctionnalité de verrouillage automatique, et permettre ainsi à une personne disposant d’un accès physique à l’appareil de contourner l’écran de verrouillage par mot de passe. Ce problème a été résolu par une meilleure gestion du mode Verrouillé.

    Référence CVE

    CVE-2012-3739 : Sebastian Spanninger du Austrian Federal Computing Centre (BRZ).

  • Verrouillage par code

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : une personne pouvant physiquement accéder à l’appareil peut contourner le système de verrouillage de l’écran.

    Description : un problème de gestion de mode existait au niveau de la gestion du système de verrouillage de l’écran. Ce problème a été résolu par une meilleure gestion du mode Verrouillé.

    Référence CVE

    CVE-2012-3740 : Ian Vitek de 2Secure AB.

  • Restrictions

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : un utilisateur peut être en mesure d’effectuer des achats sans saisir les informations relatives à l’identifiant Apple.

    Description : après la désactivation des restrictions, iOS pouvait ne pas demander le mot de passe de l’utilisateur lors d’une transaction. Ce problème a été résolu par un renforcement de la sécurité lors du processus d’achat.

    Référence CVE

    CVE-2012-3741 : Kevin Makens de la Redwood High School.

  • Safari

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : des sites Web peuvent utiliser des caractères similaires à l’icône de verrouillage dans leurs titres.

    Description : des sites Web pouvaient utiliser un caractère Unicode pour créer une icône de verrouillage dans le titre de la page. Cette icône était similaire à l’icône utilisée pour signaler une connexion sécurisée et pouvait faire croire à l’utilisateur qu’une connexion sécurisée avait été établie. Ce problème a été résolu par le retrait de ces caractères du titre des pages.

    Référence CVE

    CVE-2012-3742 : Boku Kihara de Lepidum.

  • Safari

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : les mots de passe peuvent être renseignés automatiquement, même si la fonctionnalité de remplissage automatique est désactivée sur le site.

    Description : les éléments de saisie de mots de passe, dont l’attribut de remplissage automatique était défini sur « off », étaient renseignés automatiquement. Ce problème a été résolu par une meilleure gestion de l’attribut de remplissage automatique.

    Référence CVE

    CVE-2012-0680 : Dan Poltawski de Moodle.

  • Fichiers journaux du système

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : les applications sandboxées peuvent accéder au contenu des fichiers journaux du système.

    Description : les applications sandboxées disposaient d’un accès en lecture au répertoire /var/log, ce qui pouvait leur permettre d’obtenir des informations confidentielles contenues dans les fichiers journaux du système. Ce problème a été résolu en empêchant les applications sandboxées d’accéder au répertoire /var/log.

    Référence CVE

    CVE-2012-3743

  • Téléphonie

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : un SMS semble avoir été envoyé par un utilisateur quelconque.

    Description : les messages indiquaient l’adresse de retour d’un SMS en tant que destinataire. Les adresses de retour pouvaient être usurpées. Ce problème a été résolu par l’affichage systématique de l’adresse d’envoi, plutôt que de l’adresse de retour.

    Référence CVE

    CVE-2012-3744 : pod2g.

  • Téléphonie

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : un SMS peut perturber la connectivité cellulaire.

    Description : un problème de dépassement de la mémoire tampon sur un octet existait au niveau de la gestion des headers de données de l’utilisateur de SMS. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2012-3745 : pod2g.

  • UIKit

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : un attaquant qui bénéficie d’un accès au système de fichiers d’un appareil peut être en mesure de lire les fichiers ayant été affichés en mode UIWebView.

    Description : les applications utilisant le mode UIWebView pouvaient laisser des fichiers non chiffrés dans le système de fichiers, même lorsqu’un mot de passe était activé. Ce problème a été résolu par une meilleure utilisation de la fonctionnalité de protection des données.

    Référence CVE

    CVE-2012-3746 : Ben Smith de Box.

  • WebKit

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : la consultation d’un site Web malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : plusieurs problèmes de corruption de la mémoire existaient dans WebKit. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2011-3016 : miaubiz.

    CVE-2011-3021 : Arthur Gerkis.

    CVE-2011-3027 : miaubiz.

    CVE-2011-3032 : Arthur Gerkis.

    CVE-2011-3034 : Arthur Gerkis.

    CVE-2011-3035 : wushi de team509 en collaboration avec iDefense VCP, Arthur Gerkis.

    CVE-2011-3036 : miaubiz.

    CVE-2011-3037 : miaubiz.

    CVE-2011-3038 : miaubiz.

    CVE-2011-3039 : miaubiz.

    CVE-2011-3040 : miaubiz.

    CVE-2011-3041 : miaubiz.

    CVE-2011-3042 : miaubiz.

    CVE-2011-3043 : miaubiz.

    CVE-2011-3044 : Arthur Gerkis.

    CVE-2011-3050 : miaubiz.

    CVE-2011-3053 : miaubiz.

    CVE-2011-3059 : Arthur Gerkis.

    CVE-2011-3060 : miaubiz.

    CVE-2011-3064 : Atte Kettunen d’OUSPG.

    CVE-2011-3068 : miaubiz.

    CVE-2011-3069 : miaubiz.

    CVE-2011-3071 : pa_kt en collaboration avec Zero Day Initiative de HP.

    CVE-2011-3073 : Arthur Gerkis.

    CVE-2011-3074 : Slawomir Blazek.

    CVE-2011-3075 : miaubiz.

    CVE-2011-3076 : miaubiz.

    CVE-2011-3078 : Martin Barbella de l’équipe de sécurité de Google Chrome.

    CVE-2011-3081 : miaubiz.

    CVE-2011-3086 : Arthur Gerkis.

    CVE-2011-3089 : Skylined de l’équipe de sécurité de Google Chrome, miaubiz.

    CVE-2011-3090 : Arthur Gerkis.

    CVE-2011-3105 : miaubiz.

    CVE-2011-3913 : Arthur Gerkis.

    CVE-2011-3924 : Arthur Gerkis.

    CVE-2011-3926 : Arthur Gerkis.

    CVE-2011-3958 : miaubiz.

    CVE-2011-3966 : Aki Helin d’OUSPG.

    CVE-2011-3968 : Arthur Gerkis.

    CVE-2011-3969 : Arthur Gerkis.

    CVE-2011-3971 : Arthur Gerkis.

    CVE-2012-0682 : sécurité produit d’Apple.

    CVE-2012-0683 : Dave Mandelin de Mozilla.

    CVE-2012-1520 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer, Jose A. Vazquez de spa-s3c.blogspot.com en collaboration avec iDefense VCP.

    CVE-2012-1521 : Skylined de l’équipe de sécurité de Google Chrome, Jose A. Vazquez de spa-s3c.blogspot.com en collaboration avec iDefense VCP.

    CVE-2012-2818 : miaubiz.

    CVE-2012-3589 : Dave Mandelin de Mozilla.

    CVE-2012-3590 : sécurité produit d’Apple.

    CVE-2012-3591 : sécurité produit d’Apple.

    CVE-2012-3592 : sécurité produit d’Apple.

    CVE-2012-3593 : sécurité produit d’Apple.

    CVE-2012-3594 : miaubiz.

    CVE-2012-3595 : Martin Barbella de l’équipe de sécurité de Google Chrome.

    CVE-2012-3596 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3597 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3598 : sécurité produit d’Apple.

    CVE-2012-3599 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3600 : David Levin de la communauté de développement de Chromium.

    CVE-2012-3601 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3602 : miaubiz.

    CVE-2012-3603 : sécurité produit d’Apple.

    CVE-2012-3604 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3605 : Cris Neckar de l’équipe de sécurité de Google Chrome.

    CVE-2012-3608 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3609 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3610 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3611 : sécurité produit d’Apple.

    CVE-2012-3612 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3613 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3614 : Yong Li de Research In Motion, Inc.

    CVE-2012-3615 : Stephen Chenney de la communauté de développement de Chromium.

    CVE-2012-3617 : sécurité produit d’Apple.

    CVE-2012-3618 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3620 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3624 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3625 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3626 : sécurité produit d’Apple.

    CVE-2012-3627 : Skylined et Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3628 : sécurité produit d’Apple.

    CVE-2012-3629 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3630 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3631 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3633 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3634 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3635 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3636 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3637 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3638 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3639 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3640 : miaubiz.

    CVE-2012-3641 : Slawomir Blazek.

    CVE-2012-3642 : miaubiz.

    CVE-2012-3644 : miaubiz.

    CVE-2012-3645 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3646 : Julien Chaffraix de la communauté de développement de Chromium, Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3647 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3648 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3651 : Abhishek Arya (Inferno) et Martin Barbella de l’équipe de sécurité de Google Chrome.

    CVE-2012-3652 : Martin Barbella de l’équipe de sécurité de Google Chrome.

    CVE-2012-3653 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3655 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3656 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3658 : Apple.

    CVE-2012-3659 : Mario Gomes de netfuzzer.blogspot.com, Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3660 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3661 : sécurité produit d’Apple.

    CVE-2012-3663 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3664 : Thomas Sepez de la communauté de développement de Chromium.

    CVE-2012-3665 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3666 : Apple.

    CVE-2012-3667 : Trevor Squires de propaneapp.com.

    CVE-2012-3668 : sécurité produit d’Apple.

    CVE-2012-3669 : sécurité produit d’Apple.

    CVE-2012-3670 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome, Arthur Gerkis.

    CVE-2012-3671 : Skylined et Martin Barbella de l’équipe de sécurité de Google Chrome.

    CVE-2012-3672 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3673 : Abhishek Arya (Inferno) de l’équipe de sécurité de Google Chrome.

    CVE-2012-3674 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3676 : Julien Chaffraix de la communauté de développement de Chromium.

    CVE-2012-3677 : Apple.

    CVE-2012-3678 : sécurité produit d’Apple.

    CVE-2012-3679 : Chris Leary de Mozilla.

    CVE-2012-3680 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3681 : Apple.

    CVE-2012-3682 : Adam Barth de l’équipe de sécurité de Google Chrome.

    CVE-2012-3683 : wushi de team509 travaillant avec iDefense VCP.

    CVE-2012-3684 : kuzzcc.

    CVE-2012-3686 : Robin Cao de Torch Mobile (Pékin).

    CVE-2012-3703 : sécurité produit d’Apple.

    CVE-2012-3704 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3706 : sécurité produit d’Apple.

    CVE-2012-3708 : Apple.

    CVE-2012-3710 : James Robinson de Google.

    CVE-2012-3747 : David Bloom de Cue.

  • WebKit

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèle ultérieur, iPad, iPad 2.

    Conséquence : la consultation d’un site Web malveillant peut entraîner la divulgation d’informations intersites.

    Description : un problème lié à des origines multiples existait au niveau de la gestion des valeurs de propriétés CSS. Ce problème a été résolu par un meilleur suivi de l’origine.

    Référence CVE

    CVE-2012-3691 : Apple.

  • WebKit

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèle ultérieur, iPad, iPad 2.

    Conséquence : un site Web malveillant peut remplacer les contenus d’un iframe sur un autre site.

    Description : un problème lié à des origines multiples existait au niveau de la gestion des iframes dans des fenêtres contextuelles. Ce problème a été résolu par un meilleur suivi de l’origine.

    Référence CVE

    CVE-2011-3067 : Sergey Glazunov.

  • WebKit

    Disponible pour : iPhone 3GS, iPhone 4, iPhone 4S, iPod touch (3e génération) et modèle ultérieur, iPad, iPad 2.

    Conséquence : la consultation d’un site Web malveillant peut entraîner la divulgation d’informations intersites.

    Description : un problème lié à des origines multiples existait au niveau de la gestion des iframes et des identificateurs de fragment. Ce problème a été résolu par un meilleur suivi de l’origine.

    Référence CVE

    CVE-2012-2815 : Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt et Dan Boneh du Laboratoire de sécurité de l’Université de Stanford.

  • WebKit

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : des caractères semblables dans une URL peuvent être utilisés pour usurper un site Web.

    Description : la prise en charge des noms internationaux de domaines (IDN) et les polices Unicode intégrées à Safari pouvaient avoir été utilisées pour créer une URL contenant des caractères semblables. Ceux-ci pouvaient avoir été utilisés sur un site Web malveillant pour diriger l’utilisateur vers un faux site qui apparaissait visuellement comme un domaine légitime. Ce problème a été résolu par l’ajout des caractères semblables connus à la liste de WebKit. Les caractères semblables apparaissent en syntaxe Punycode dans la barre d’adresse.

    Référence CVE

    CVE-2012-3693 : Matt Cooley de Symantec.

  • WebKit

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : la consultation d’un site Web malveillant peut entraîner une attaque de scriptage intersites.

    Description : un problème de mise en forme canonique existait au niveau de la gestion des URL. Ceci pouvait entraîner un scriptage intersites sur des sites utilisant la propriété location.href. Ce problème a été résolu par une meilleure mise en forme canonique des URL.

    Référence CVE

    CVE-2012-3695 : Masato Kinugawa.

  • WebKit

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : la consultation d’un site Web malveillant peut conduire à une division de la requête HTTP.

    Description : un problème d’injection de l’en-tête HTTP existait au niveau de la gestion des WebSockets. Ce problème a été résolu par un meilleur nettoyage des URI WebSockets.

    Référence CVE

    CVE-2012-3696 : David Belcher de l’équipe de réponse aux incidents de BlackBerry.

  • WebKit

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : un site Web malveillant peut usurper la valeur dans la barre d’adresse URL.

    Description : un problème de gestion de l’état existait au niveau de la gestion de l’historique de session. Les navigations vers un fragment de la page actuelle pouvaient entraîner l’affichage, par Safari, d’informations incorrectes dans la barre d’adresse URL. Ce problème a été résolu par un meilleur suivi de l’état de la session.

    Référence CVE

    CVE-2011-2845 : Jordi Chancel.

  • WebKit

    Disponible pour : iPhone 3GS et modèle ultérieur, iPod touch (4e génération) et modèle ultérieur, iPad 2 et modèle ultérieur.

    Conséquence : la consultation d’un site malveillant peut conduire à la divulgation des contenus de la mémoire.

    Description : un problème d’accès à la mémoire non initialisée existait au niveau de la gestion des images SVG. Ce problème a été résolu par une meilleure initialisation de la mémoire.

    Référence CVE

    CVE-2012-3650 : Apple.

 

Important : les mentions de sites Web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Dernière modification : 8 oct. 2012
Avez-vous trouvé cet article utile ?
Oui
Non
Not helpful Somewhat helpful Helpful Very helpful Solved my problem
Imprimer cette page
  • Dernière modification : 8 oct. 2012
  • Article : HT5503
  • Visites:

    490289
  • Note :
    • 70.0

    (37 réponses)

Informations supplémentaires relatives à l’assistance produit