À propos des correctifs de sécurité de la mise à jour iPhone 1.1.1
Ce document décrit les correctifs de sécurité de la mise à jour iPhone v1.1.1.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité d’Apple.
Mise à jour iPhone v1.1.1
Bluetooth
Référence CVE : CVE-2007-3753
Conséquence : un attaquant se trouvant dans la zone de portée Bluetooth de l’appareil peut être en mesure de provoquer la fermeture inopinée d’une app ou une exécution arbitraire de code.
Description : un problème de validation des entrées affecte le serveur Bluetooth de l’iPhone. En envoyant à un iPhone sur lequel le Bluetooth est activé des paquets SDP (Service Discovery Protocol) construits de manière malveillante, un attaquant peut déclencher le problème, qui est susceptible de mener à la fermeture inopinée d’une app ou une exécution arbitraire de code. Cette mise à jour résout le problème en effectuant une validation supplémentaire des paquets SDP. Nous remercions Kevin Mahaffey et John Hering de Flexilis Mobile Security d’avoir signalé ce problème.
Référence CVE : CVE-2007-3754
Conséquence : la consultation du courrier électronique sur des réseaux non sécurisés peut entraîner une divulgation d’informations au moyen d’une attaque de type « homme du milieu ».
Description : lorsque SSL est activé dans l’application Mail pour les connexions entrantes et sortantes, elle n’avertit pas l’utilisateur lorsque l’identité du serveur de courrier électronique a changé ou ne peut être certifiée. Un attaquant en mesure d’intercepter la connexion peut usurper l’identité du serveur de messagerie de l’utilisateur et obtenir les identifiants de courriel de ce dernier ou d’autres informations sensibles. Cette mise à jour résout le problème en envoyant un avertissement lorsque l’identité du serveur de messagerie à distance a changé.
Référence CVE : CVE-2007-3755
Conséquence : sélectionner un lien de téléphone (« tél : ») dans l’application Mail provoque, sans confirmation, la composition d’un numéro de téléphone.
Description : Mail prend en charge les liens de téléphone (« tél : ») pour composer les numéros de téléphone. En incitant un utilisateur à sélectionner un lien de téléphone dans un courrier électronique, un attaquant peut amener un iPhone à passer un appel sans confirmation de l’utilisateur. Cette mise à jour résout le problème en affichant une fenêtre de confirmation avant de composer un numéro via un lien de téléphone dans l’application Mail. Nous remercions Andi Baritchi de McAfee d’avoir signalé ce problème.
Safari
Référence CVE : CVE-2007-3756
Conséquence : la consultation d’un site web construit de manière malveillante peut entraîner la divulgation du contenu de l’URL.
Description : un problème de conception dans Safari permet à une page web de lire l’URL affichée dans sa fenêtre mère. En incitant un utilisateur à consulter une page web construite de manière malveillante, un attaquant peut obtenir l’URL d’une autre page. Cette mise à jour résout le problème grâce à une meilleure vérification de la sécurité inter-domaines. Nous remercions Michal Zalewski de Google Inc. et Secunia Research d’avoir signalé ce problème.
Safari
Référence CVE : CVE-2007-3757
Conséquence : la consultation d’un site web malveillant peut entraîner une composition non intentionnelle d’un numéro ou la composition d’un numéro différent de celui prévu.
Description : Safari prend en charge les liens de téléphone (« tél : ») pour composer les numéros de téléphone. Lorsqu’un lien de téléphone est sélectionné, Safari confirme que le numéro doit être composé. Un lien de téléphone construit de manière malveillante peut provoquer, lors de la confirmation, l’affichage d’un numéro autre que celui réellement composé. Quitter Safari lors du processus de confirmation peut générer une confirmation non intentionnelle. Cette mise à jour résout le problème en affichant le numéro qui sera réellement composé et en demandant une confirmation pour les liens de téléphone. Nous remercions Billy Hoffman et Bryan Sullivan de HP Security Labs (anciennement SPI Labs) et Eduardo Tang d’avoir signalé ce problème.
Safari
Référence CVE : CVE-2007-3758
Conséquence : la consultation d’un site web malveillant peut entraîner une exécution de scripts intersites.
Description : Safari présente une vulnérabilité de script intersites qui permet aux sites web malveillants de définir les propriétés des fenêtres JavaScript de sites web hébergés sur un autre domaine. En incitant un utilisateur à consulter un site web construit de manière malveillante, un attaquant peut déclencher le problème, donnant lieu à l’obtention ou à la configuration de l’état des fenêtres ainsi que de l’emplacement de pages provenant d’autres sites web. Cette mise à jour résout le problème en offrant des contrôles d’accès améliorés sur ces propriétés. Nous remercions Michal Zalewski, de Google Inc., d’avoir signalé ce problème.
Safari
Référence CVE : CVE-2007-3759
Conséquence : la désactivation de JavaScript ne prend effet qu’au redémarrage de Safari
Description : Safari peut être configuré de manière à activer ou désactiver JavaScript. Cette préférence ne prend effet qu’au redémarrage de Safari, ce qui se produit généralement au redémarrage de l’iPhone. Ceci peut amener les utilisateurs à croire que JavaScript est désactivé alors qu’il ne l’est pas. Cette mise à jour résout le problème en appliquant la nouvelle préférence avant de charger de nouvelles pages Web.
Safari
Référence CVE : CVE-2007-3760
Conséquence : la consultation d’un site web malveillant peut entraîner une exécution de scripts intersites.
Description : Safari présente un problème de script intersites qui permet à un site web construit de manière malveillante de contourner la règle d’origine commune en utilisant des balises « frame ». En incitant un utilisateur à consulter une page web construite de manière malveillante, un attaquant peut déclencher le problème, ce qui peut entraîner l’exécution de JavaScript dans le cadre d’un autre site. Cette mise à jour résout le problème en interdisant l’utilisation de JavaScript comme source « iframe » et en limitant JavaScript dans les balises « frame » au même accès que le site à partir duquel il a été servi. Nous remercions Michal Zalewski de Google Inc. et Secunia Research d’avoir signalé ce problème.
Safari
Référence CVE : CVE-2007-3761
Conséquence : la consultation d’un site web malveillant peut entraîner une exécution de scripts intersites.
Description : un problème de script intersites dans Safari permet l’association d’événements JavaScript avec la mauvaise balise frame. En incitant un utilisateur à consulter une page web construite de manière malveillante, un attaquant peut provoquer l’exécution de JavaScript dans le cadre d’un autre site. Cette mise à jour résout le problème en associant les événements JavaScript à la balise frame source appropriée.
Safari
Référence CVE : CVE-2007-4671
Conséquence : JavaScript peut, sur les sites web, accéder au contenu de documents servis via HTTPS ou le manipuler.
Description : un problème dans Safari permet que le contenu servi via HTTP accède au contenu servi via HTTPS dans le même domaine ou le modifie. En incitant un utilisateur à consulter une page web construite de manière malveillante, un attaquant peut provoquer l’exécution de JavaScript dans le cadre de pages web HTTPS de ce domaine. Cette mise à jour résout le problème en limitant l’accès entre le JavaScript s’exécutant dans les frames HTTP et celui s’exécutant dans les frames HTTPS. Nous remercions Keigo Yamazaki de LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) d’avoir signalé ce problème.
À propos de l’installation :
Cette mise à jour n’est disponible qu’à partir d’iTunes et ne s’affichera ni dans l’application Mise à jour de logiciels ni sur le site Téléchargements d’Apple. Assurez-vous que vous disposez d’une connexion Internet et que vous avez installé la dernière version d’iTunes via www.apple.com/ca/fr/itunes.
iTunes vérifiera automatiquement le serveur de mise à jour d’Apple dans le cadre de sa recherche hebdomadaire. Lorsqu’une mise à jour est détectée, le programme la télécharge. Lorsque l’iPhone est placé sur sa station d’accueil, iTunes propose à l’utilisateur d’installer la mise à jour. Nous vous conseillons, si possible, de procéder immédiatement à cette installation. Si vous sélectionnez « Ne pas installer », l’option d’installation vous sera proposée lors de la prochaine connexion de votre iPhone.
Le processus de mise à jour automatique peut prendre jusqu’à une semaine, selon le jour où iTunes vérifie les mises à jour. Vous pouvez obtenir manuellement la mise à jour en cliquant sur le bouton « Rechercher les mises à jour » d’iTunes. La mise à jour pourra ensuite être appliquée lorsque votre iPhone sera placé sur sa station d’accueil et connecté à votre ordinateur.
Pour vérifier que l’iPhone a été mis à jour, procédez comme suit :
Accédez à Réglages.
Cliquez sur Général.
Cliquez sur Informations. Après application de la mise à jour, la version affichée sera la « 1.1.1 (3A109a) ».