À propos du contenu sécuritaire de la mise à jour iPhone 1.1.1

Ce document décrit le contenu sécuritaire de la mise à jour iPhone 1.1.1.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Sécurité produit d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Mise à jour iPhone 1.1.1

  • Bluetooth

    Références CVE : CVE-2007-3753

    Conséquences : un attaquant se trouvant dans la zone de portée Bluetooth de l’appareil peut être en mesure de provoquer un blocage inattendu d’application ou l’exécution de code quelconque

    Description : il existe une validation d’entrée dans le serveur Bluetooth de l’iPhone. En envoyant à un iPhone sur lequel Bluetooth est activé des paquets SDP (Service Discovery Protocol) construits de manière malveillante, un attaquant peut déclencher le problème, qui est susceptible de mener à un blocage inattendu d’application ou à l’exécution d’un code quelconque. Cette mise à jour corrige le problème en réalisant des validations supplémentaires des paquets SDP. Nous remercions Kevin Mahaffey et John Hering de Flexilis Mobile Security pour avoir signalé ce problème.

  • Mail

    Références CVE : CVE-2007-3754

    Conséquences : la vérification du courrier électronique sur des réseaux non sécurisés peut provoquer la divulgation d’informations via une attaque de l’homme du milieu

    Description : lorsque SSL est activé dans l’application Mail pour les connexions entrantes et sortantes, elle n’avertit pas l’utilisateur lorsque l’identité du serveur de courrier électronique a changé ou ne peut être certifiée. Un attaquant en mesure d’intercepter la connexion peut emprunter l’identité du serveur de courrier électronique de l’utilisateur et récupérer les informations d’identification de courrier électronique de ce dernier ou d’autres informations sensibles. Cette mise à jour corrige le problème en affichant un avertissement lorsque l’identité du serveur de courrier électronique distant a changé.

  • Mail

    Références CVE : CVE-2007-3755

    Conséquences : sélectionner un lien de téléphone (« tél : ») dans l’application Mail provoquera, sans confirmation, la composition d’un numéro de téléphone

    Description : Mail gère les liens de téléphone (« tél : ») pour la composition de numéros de téléphone. En poussant un utilisateur à sélectionner un lien de téléphone dans un courrier électronique, un attaquant peut amener un iPhone à passer un appel sans confirmation de l’utilisateur. Cette mise à jour corrige le problème en affichant une fenêtre de confirmation avant la composition d’un numéro via un lien de téléphone dans l’application Mail. Nous remercions Andi Baritchi de McAfee pour avoir signalé ce problème.

  • Safari

    Références CVE : CVE-2007-3756

    Conséquences : la consultation d’un site web construit de manière malveillante peut conduire à la divulgation de contenus d’URL.

    Description : Safari présente un problème de conception qui permet à une page web de lire l’URL affichée dans sa fenêtre mère. En poussant un utilisateur à consulter une page web construite de manière malveillante, un attaquant peut obtenir l’URL d’une autre page. Cette mise à jour corrige le problème par une vérification de sécurité améliorée entre les domaines. Nous remercions Michal Zalewski de Google Inc. et Secunia Research pour avoir signalé ce problème.

  • Safari

    Références CVE : CVE-2007-3757

    Conséquences : la visite d’un site web construit de manière malveillante peut conduire à une numérotation non intentionnelle ou à la numérotation d’un numéro autre que celui prévu

    Description : Safari gère les liens de téléphone (« tél : ») pour la composition de numéros de téléphone. Lorsqu’un lien de téléphone est sélectionné, Safari confirme que le numéro doit être composé. Un lien de téléphone construit de manière malveillante peut provoquer, lors de la confirmation, l’affichage d’un numéro autre que celui réellement composé. Quitter Safari lors du processus de confirmation peut générer une confirmation non intentionnelle. Cette mise à jour corrige le problème en affichant le numéro qui sera réellement composé et en demandant une confirmation pour les liens de téléphone. Nous remercions Billy Hoffman et Bryan Sullivan de HP Security Labs (anciennement SPI Labs) et Eduardo Tang pour avoir signalé ce problème.

  • Safari

    Références CVE : CVE-2007-3758

    Conséquences : la consultation d’un site web construit de manière malveillante peut provoquer un scriptage intersite

    Description : il existe dans Safari une vulnérabilité de scriptage intersite permettant à des sites web construits de manière malveillante de définir les propriétés de fenêtres JavaScript de sites web servis depuis un autre domaine. En poussant un utilisateur à consulter un site web construit de manière malveillante, un attaquant peut déclencher le problème, menant à la récupération ou à la configuration du statut de fenêtres ainsi que de l’emplacement de pages servies depuis d’autres sites web. Cette mise à jour corrige le problème en réalisant des contrôles d’accès plus poussés sur ces propriétés. Nous remercions Michal Zalewski de Google Inc. pour avoir signalé ce problème.

  • Safari

    Références CVE : CVE-2007-3759

    Conséquences : la désactivation de JavaScript ne prend effet qu’au redémarrage de Safari

    Description : Safari peut être configuré de manière à activer ou désactiver JavaScript. Cette préférence ne prend effet qu’au redémarrage de Safari, ce qui se produit généralement au redémarrage de l’iPhone. Ceci peut pousser les utilisateurs à croire que JavaScript est désactivé alors qu’il ne l’est pas. Cette mise à jour corrige le problème en appliquant la nouvelle préférence avant le chargement de nouvelles pages web.

  • Safari

    Références CVE : CVE-2007-3760

    Conséquences : la consultation d’un site web construit de manière malveillante peut provoquer un scriptage intersite

    Description : il existe dans Safari un problème de scriptage intersite permettant à un site web construit de manière malveillante de contourner la règle d’origine commune en utilisant des balises « frame ». En poussant un utilisateur à consulter une page web construite de manière malveillante, un attaquant peut déclencher le problème, qui est susceptible de mener à l’exécution de JavaScript dans le cadre d’un autre site. Cette mise à jour corrige le problème en interdisant d’utiliser JavaScript comme source « iframe » et en limitant JavaScript dans les balises « frame » au même accès que le site à partir duquel il a été servi. Nous remercions Michal Zalewski de Google Inc. et Secunia Research pour avoir signalé ce problème.

  • Safari

    Références CVE : CVE-2007-3761

    Conséquences : la consultation d’un site web construit de manière malveillante peut provoquer un scriptage intersite

    Description : il existe dans Safari un problème de scriptage intersite permettant l’association d’événements JavaScript avec la mauvaise balise frame. En poussant un utilisateur à consulter une page web construite de manière malveillante, un attaquant peut provoquer l’exécution de JavaScript dans le cadre d’un autre site. Cette mise à jour corrige ce problème en associant les événements JavaScript à la balise frame source appropriée.

  • Safari

    Références CVE : CVE-2007-4671

    Conséquences : JavaScript peut, sur les sites web, accéder au contenu de documents servis via HTTPS ou le manipuler

    Description : il existe un problème dans Safari permettant au contenu servi via HTTP d’accéder au contenu servi via HTTPS dans le même domaine ou de le modifier. En poussant un utilisateur à consulter une page web construite de manière malveillante, un attaquant peut provoquer l’exécution de JavaScript dans le cadre de pages web HTTPS de ce domaine. Cette mise à jour corrige le problème en limitant l’accès entre le JavaScript s’exécutant dans les frames HTTP et celui s’exécutant dans les frames HTTPS. Nous remercions Keigo Yamazaki de LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) pour avoir signalé ce problème.

À propos de l’installation :

Cette mise à jour n’est disponible qu’à partir d’iTunes et ne s’affichera pas dans l’application Mise à jour de logiciels ou sur le site Téléchargements Apple. Assurez-vous que vous disposez d’une connexion Internet et que vous avez installé la dernière version d’iTunes via www.apple.com/fr/itunes.

iTunes vérifiera automatiquement le serveur de mise à jour d’Apple dans le cadre de sa recherche hebdomadaire. Lorsqu’une mise à jour est détectée, le programme la télécharge. Lorsque l’iPhone est placé sur sa station d’accueil, iTunes propose à l’utilisateur d’installer la mise à jour. Nous vous conseillons, si possible, de procéder immédiatement à cette installation. Si vous sélectionnez « Ne pas installer », l’option d’installation vous sera proposée lors de la prochaine connexion de votre iPhone.

Le processus automatique de mise à jour peut prendre jusqu’à une semaine, selon le jour où iTunes vérifie les mises à jour. Vous pouvez la récupérer manuellement en cliquant sur le bouton « Rechercher les mises à jour » d’iTunes. La mise à jour pourra ensuite être appliquée lorsque votre iPhone sera placé sur sa station d’accueil et connecté à votre ordinateur.

Pour vérifier que l’iPhone a été mis à jour, procédez comme suit :

  1. Naviguez jusqu’à Réglages.
  2. Cliquez sur Général.
  3. Cliquez sur Informations. Après application de la mise à jour, la version affichée sera la « 1.1.1 (3A109a) ».
Date de publication: