À propos des correctifs de sécurité d’iOS 9

Ce document décrit les correctifs de sécurité d’iOS 9.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez la page Web Sécurité produit Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

iOS 9

  • Apple Pay

    Disponible pour : iPhone 6 et iPhone 6 Plus.

    Conséquence : lors du paiement, certaines cartes peuvent autoriser un terminal à accéder à des informations limitées, portant sur des transactions récentes.

    Description : la fonctionnalité de journalisation des transactions était activée pour certaines configurations. Ce problème a été résolu par la désactivation de la fonctionnalité de journalisation. Ce problème ne concernait pas les iPad.

    Référence CVE

    CVE-2015-5916

  • AppleKeyStore

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant local utilisant une sauvegarde iOS peut réinitialiser le nombre de tentatives associées à la saisie du code d’accès.

    Description : un problème existait avec la réinitialisation du nombre de tentatives associées à la saisie du code d’accès à partir de sauvegardes d’appareils iOS. Ce problème a été résolu en améliorant la logique d’échec du code d’accès.

    Référence CVE

    CVE-2015-5850 : un chercheur anonyme.

  • Magasin d’applications

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : le fait de cliquer sur un lien ITMS malveillant peut entraîner un déni de service dans une application d’entreprise signée.

    Description : un problème lié aux installations utilisant des liens ITMS existait. Ce problème a été résolu par une vérification supplémentaire au cours de l’installation.

    Référence CVE

    CVE-2015-5856 : Zhaofeng Chen, Hui Xue et Tao (Lenx) Wei de FireEye, Inc.

  • Audio

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la lecture d’un fichier audio malveillant peut provoquer un arrêt inattendu de l’application.

    Description : la gestion des fichiers audio présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5862 : YoungJin Yoon d'Information Security Lab. (Adv. : Prof. Taekyoung Kwon), Yonsei University, Séoul, Corée

  • Politique de fiabilité des certificats

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la politique de fiabilité des certificats est mise à jour.

    Description : la politique de fiabilité des certificats était mise à jour. La liste complète des certificats peut être consultée à l’adresse https://support.apple.com/fr-fr/HT204132.

  • CFNetwork

    Disponible pour : iPhone 4s et versions ultérieures, iPod touch (5ème génération) et versions ultérieures, iPad 2 et versions ultérieures

    Conséquence : une URL malveillante peut ne pas être filtrée par HSTS et permettre la divulgation d’informations sensibles.

    Description : un problème d’analyse des URL existait au niveau de la gestion d’HSTS. Ce problème a été résolu par une meilleure analyse des URL.

    Référence CVE

    CVE-2015-5858 : Xiaofeng Zheng de la Blue Lotus Team (Tsinghua University).

  • CFNetwork

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un site Web malveillant est susceptible de traquer les utilisateurs de Safari en mode de navigation privée.

    Description : un problème existait au niveau de la gestion de l’état HSTS, dans Safari et en mode de navigation privée. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-5860 : Sam Greenhalgh de RadicalResearch Ltd.

  • CFNetwork

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une personne disposant d’un accès physique à un appareil iOS peut lire des données provenant du cache d’applications Apple.

    Description : les données du cache étaient chiffrées à l’aide d’une clé protégée uniquement par l’UID matériel. Ce problème a été résolu par le chiffrement des données du cache à l’aide d’une clé protégée par l’UID matériel et par le code d’accès de l’utilisateur.

    Référence CVE

    CVE-2015-5898 : Andreas Kurtz de NESO Security Labs.

  • Cookies CFNetwork

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant profitant d’une position privilégiée sur le réseau peut traquer les activités d’un utilisateur.

    Description : la gestion des domaines de niveau supérieur présentait un problème de cookie valable pour plusieurs domaines. Le problème a été résolu par une amélioration des restrictions applicables à la création de cookies.

    Référence CVE

    CVE-2015-5885 : Xiaofeng Zheng de la Blue Lotus Team (Tsinghua University).

  • Cookies CFNetwork

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant est en mesure de créer un cookie non désiré pour un site Web.

    Description : WebKit acceptait le paramétrage de plusieurs cookies dans l’API document.cookie. Il a été résolu par une analyse améliorée.

    Référence CVE

    CVE-2015-3801 : Erling Ellingsen de Facebook.

  • CFNetwork/Protocole FTP

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : des serveurs FTP malveillants peuvent forcer le client à procéder à des tests de reconnaissance au niveau des autres hôtes.

    Description : un problème existait au niveau de la gestion des paquets FTP lors de l’utilisation de la commande PASV. Ce problème a été résolu par une meilleure validation.

    Référence CVE

    CVE-2015-5912 : Amit Klein.

  • CFNetwork HTTPProtocol

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter le trafic réseau.

    Description : un problème existait au niveau de la gestion des entrées associées aux listes de préchargement HSTS, dans Safari et en mode de navigation privée. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-5859 : Rosario Giustolisi de l’université du Luxembourg

  • Proxys CFNetwork

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la connexion à un proxy Web malveillant est susceptible d’entraîner la configuration de cookies malveillants pour un site Web.

    Description : un problème survenait lors de la gestion des réponses aux demandes de connexion du proxy. Ce problème a été résolu par la suppression de l’en-tête set-cookie lors de l’analyse de la réponse de connexion.

    Référence CVE

    CVE-2015-5841 : Xiaofeng Zheng de la Blue Lotus Team (Tsinghua University).

  • Protocole SSL de CFNetwork

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter les connexions s’effectuant via le protocole SSL/TLS.

    Description : un problème de validation de certificat existait dans NSURL, lorsqu’un certificat était modifié. Ce problème a été résolu par une meilleure validation des certificats.

    Référence CVE

    CVE-2015-5824 : Timothy J. Wood de The Omni Group.

  • Protocole SSL de CFNetwork

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant peut être en mesure de déchiffrer des données protégées par le protocole SSL.

    Description : le niveau de confidentialité de l’algorithme RC4 était affaibli. Un attaquant pouvait forcer l’utilisation de l’algorithme RC4, y compris lorsque le serveur adoptait de meilleurs chiffrements. Pour ce faire, les connexions effectuées à l’aide du protocole TLS 1.0 et version ultérieure étaient bloquées, jusqu’à l’utilisation du protocole SSL 3.0 par CFNetwork (le protocole SSL 3.0 prenant uniquement l’algorithme RC4 en charge). Ce problème a été résolu par le non-emploi du protocole SSL 3.0.

  • CoreAnimation

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut divulguer des données sensibles.

    Description : les applications en arrière-plan pouvaient accéder à l’écran du framebuffer. Ce problème a été résolu par un meilleur contrôle des accès sur IOSurfaces.

    Référence CVE

    CVE-2015-5880 : Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li de l’Université School of Information Systems Singapore Management, et Feng Bao et Jianying Zhou du Cryptography and Security Department Institute pour Infocomm Research.

  • CoreCrypto

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant peut être en mesure d’obtenir une clé privée.

    Description : un attaquant pouvait être en mesure d’obtenir la clé privée RSA en évaluant les tentatives de connexion ou de déchiffrement. Ce problème a été résolu par l’amélioration des algorithmes de chiffrement utilisés.

  • CoreText

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de polices. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team.

  • Data Detectors Engine

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : le traitement d’un fichier texte malveillant peut entraîner l’exécution arbitraire de code.

    Description : des problèmes de corruption de la mémoire survenaient lors du traitement des fichiers texte. Ces problèmes ont été résolus par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5829 : M1x7e1 de la Safeye Team (www.safeye.org).

  • Outils de développement

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : dyld présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5876 : beist de grayhash.

  • Images disque

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : DiskImages présentait un problème de corruption de la mémoire. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5847 : Filippo Bigarella, Luca Todesco.

  • dyld

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application peut contourner les vérifications de signature de code

    Description : un problème existait au niveau de la validation de la signature de code des fichiers exécutables. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5839 : @PanguTeam, TaiG Jailbreak Team.

  • Game Center

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application Game Center malveillante peut permettre d’accéder à l’adresse e-mail d’un joueur.

    Description : un problème existait au niveau de la gestion, dans Game Center, de l’adresse e-mail d’un joueur. Ce problème a été résolu par un meilleur contrôle des restrictions d’accès.

    Référence CVE

    CVE-2015-5855 : Nasser Alnasser.

  • ICU

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : ICU présente plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités affectaient les versions d’ICU antérieures à la version 53.1.0. Elles ont été résolues par une mise à jour d’ICU vers la version 55.1.

    Référence CVE

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922 : Mark Brand de Google Project Zero

  • IOAcceleratorFamily

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : un problème entraînait la divulgation du contenu de la mémoire du noyau. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5834 : Cererdlong de l’Alibaba Mobile Security Team.

  • IOAcceleratorFamily

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de corruption de la mémoire existait dans IOAcceleratorFamily. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5848 : Filippo Bigarella.

  • IOHIDFamily

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : IOHIDFamily présentait un problème de corruption de la mémoire. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5867 : moony li de Trend Micro.

  • IOKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de corruption de la mémoire existait dans le noyau. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5844 : Filippo Bigarella.

    CVE-2015-5845 : Filippo Bigarella.

    CVE-2015-5846 : Filippo Bigarella.

  • IOMobileFrameBuffer

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Conséquence : un problème de corruption de la mémoire existait dans IOMobileFrameBuffer. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5843 : Filippo Bigarella.

  • IOStorageFamily

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant local peut être en mesure de lire la mémoire du noyau.

    Description : un problème d’initialisation de la mémoire existait au niveau du noyau. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5863 : Ilja van Sprundel d’IOActive.

  • iTunes Store

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : les identifiants Apple figurent toujours dans le trousseau après la déconnexion.

    Description : la suppression du trousseau présentait un problème. Ce problème a été résolu par un meilleur nettoyage du compte.

    Référence CVE

    CVE-2015-5832 : Kasif Dekel de Check Point Software Technologies.

  • JavaScriptCore

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut conduire à l’exécution arbitraire de code.

    Description : WebKit présentait des problèmes de corruption de la mémoire. Ils ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5791 : Apple.

    CVE-2015-5793 : Apple.

    CVE-2015-5814 : Apple.

    CVE-2015-5816 : Apple.

    CVE-2015-5822 : Mark S. Miller de Google.

    CVE-2015-5823 : Apple.

  • Noyau

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.

    Description : un problème de corruption de la mémoire existait dans le noyau. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5868 : Cererdlong de l’Alibaba Mobile Security Team.

    CVE-2015-5896 : Maxime Villard de m00nbsd.

    CVE-2015-7118 : Jonathan Zdziarski

    Entrée mise à jour le 21 décembre 2016

  • Noyau

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant local peut contrôler la valeur des cookies de pile.

    Description : la génération des cookies de pile présentait plusieurs problèmes. Le problème a été résolu par une amélioration de la génération des cookies de pile.

    Référence CVE

    CVE-2013-3951 : Stefan Esser.

  • Noyau

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un processus local peut modifier d’autres processus sans vérifier les autorisations.

    Description : les processus racine utilisant l’API processor_set_tasks étaient autorisés à récupérer les ports de tâche d’autres processus. Ce problème a été résolu par une vérification supplémentaire des autorisations.

    Référence CVE

    CVE-2015-5882 : Pedro Vilaça, à partir d’une recherche menée par Ming-chieh Pan et Sung-ting Tsai ; Jonathan Levin.

  • Noyau

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant peut être à l’origine d’attaques par déni de service sur des connexions TCP ciblées, sans avoir connaissance de la séquence numérique appropriée.

    Description : un problème existait au niveau de la validation, par xnu, des en-têtes de paquets TCP. Ce problème a été résolu par une meilleure validation des en-têtes de paquets TCP.

    Référence CVE

    CVE-2015-5879 : Jonathan Looney.

  • Noyau

    Disponible pour : iPhone 4s et versions ultérieures, iPod touch (5ème génération) et versions ultérieures, iPad 2 et versions ultérieures

    Conséquence : un attaquant se trouvant dans un segment LAN local peut désactiver le routage IPv6.

    Description : un problème de validation insuffisante survenait lors de la gestion des annonces du routeur IPv6, ce qui permettait à un attaquant de régler la limite de sauts sur une valeur arbitraire. Ce problème a été résolu par l’application d’une limite de sauts minimale.

    Référence CVE

    CVE-2015-5869 : Dennis Spindel Ljungmark.

  • Noyau

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : XNU présentait un problème, qui entraînait la divulgation du contenu de la mémoire du noyau. Ce problème a été résolu par l’amélioration de l’initialisation des structures de la mémoire du noyau.

    Référence CVE

    CVE-2015-5842 : beist de grayhash.

  • Noyau

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un utilisateur local peut être à l’origine d’un déni de service du système.

    Description : un problème survenait lors du montage de lecteurs HFS. Ce problème a été résolu par l’ajout de vérifications supplémentaires.

    Référence CVE

    CVE-2015-5748 : Maxime Villard de m00nbsd.

  • libc

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant distant peut provoquer l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau de la fonction fflush. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2014-8611 : Adrian Chadd et Alfred Perlstein de Norse Corporation.

  • libpthread

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.

    Description : un problème de corruption de la mémoire existait dans le noyau. Il a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5899 : Lufeng Li de la Qihoo 360 Vulcan Team.

  • Mail

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant peut envoyer un e-mail semblant provenir d’un des contacts du carnet d’adresses du destinataire.

    Description : la gestion de l’adresse de l’expéditeur présentait un problème. Il a été résolu par une meilleure validation.

    Référence CVE

    CVE-2015-5857 : Emre Saglam de salesforce.com.

  • Connectivité de pairs multiples

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant local peut être en mesure d’examiner les données non sécurisées de pairs multiples.

    Description : un problème existait au niveau de la gestion du convenience initializer et entraînait le non-chiffrement de la session. Ce problème a été résolu par une modification du convenience initializer de sorte que le chiffrement soit obligatoire.

    Référence CVE

    CVE-2015-5851 : Alban Diquet (@nabla_c0d3) de Data Theorem.

  • NetworkExtension

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : un problème de mémoire non initialisée existait dans le noyau et entraînait la divulgation du contenu de la mémoire de ce dernier. Ce problème a été résolu via l’initialisation de la mémoire.

    Référence CVE

    CVE-2015-5831 : Maxime Villard de m00nbsd.

  • OpenSSL

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : plusieurs vulnérabilités affectent OpenSSL.

    Description : les versions d’OpenSSL antérieures à la version 0.9.8zg présentaient plusieurs vulnérabilités. Celles-ci ont été corrigées par la mise à jour d’OpenSSL vers la version 0.9.8zg.

    Référence CVE

    CVE-2015-0286

    CVE-2015-0287

  • PluginKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante d’entreprise peut installer des extensions avant d’avoir été jugée fiable.

    Description : la validation des extensions lors de l’installation présentait un problème. Ce problème a été résolu par une amélioration de la vérification de l’application.

    Référence CVE

    CVE-2015-5837 : Zhaofeng Chen, Hui Xue et Tao (Lenx) Wei de FireEye, Inc.

  • removefile

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : le traitement de données malveillantes est susceptible de provoquer un arrêt inattendu de l’application.

    Description : un problème de dépassement de capacité existait au niveau des routines de division checkint. Ce problème a été résolu par une amélioration des routines de division.

    Référence CVE

    CVE-2015-5840 : un chercheur anonyme.

  • Safari

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un utilisateur local peut lire les signets de Safari sur un appareil iOS verrouillé sans disposer du code d’accès.

    Description : les données des signets de Safari étaient chiffrées à l’aide d’une clé protégée uniquement par l’UID matériel. Ce problème a été résolu par le chiffrement des données des signets de Safari à l’aide d’une clé protégée par l’UID matériel et par le code d’accès de l’utilisateur.

    Référence CVE

    CVE-2015-7118 : Jonathan Zdziarski

    Entrée mise à jour le 21 décembre 2016

  • Safari

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut entraîner une utilisation détournée de l’interface utilisateur.

    Description : un problème pouvait autoriser un site Web à afficher du contenu à partir de l’URL d’un autre site. Ce problème a été résolu par une meilleure gestion des URL.

    Référence CVE

    CVE-2015-5904 : Erling Ellingsen de Facebook, Łukasz Pilorz.

  • Safari

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut entraîner une utilisation détournée de l’interface utilisateur.

    Description : la navigation sur un site Web malveillant avec une ouverture de fenêtre mal paramétrée pouvait autoriser l’affichage d’URL arbitraires. Ce problème a été résolu par une meilleure gestion des ouvertures de fenêtres.

    Référence CVE

    CVE-2015-5905 : Keita Haga de keitahaga.com.

  • Safari

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : des utilisateurs peuvent être pistés par des sites Web malveillants, via des certificats client.

    Description : un problème existait au niveau de la mise en correspondance des certificats client, dans Safari, en cas d’authentification via le protocole SSL. Ce problème a été résolu par une meilleure mise en correspondance des certificats client valides.

    Référence CVE

    CVE-2015-1129 : Stefan Kraus de fluid Operations AG, Sylvain Munaut de Whatever s.a.

  • Safari

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut entraîner une utilisation détournée de l’interface utilisateur.

    Description : des incohérences liées à des interfaces utilisateurs multiples pouvaient autoriser un site Web malveillant à afficher une URL arbitraire. Ce problème a été résolu par une amélioration de la logique d’affichage des URL.

    Référence CVE

    CVE-2015-5764 : Antonio Sanso (@asanso) d’Adobe.

    CVE-2015-5765 : Ron Masas.

    CVE-2015-5767 : Krystian Kloskowski via Secunia, Masato Kinugawa.

  • Safari Safe Browsing

    iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : l’accès à l’adresse IP d’un site Web malveillant connu ne déclenche pas d’avertissement de sécurité.

    Description : la fonctionnalité Safari Safe Browsing n’avertissait pas les utilisateurs qui consultaient des sites Web malveillants connus en saisissant leur adresse IP. Le problème a été résolu par une amélioration de la détection des sites malveillants.

    Rahul M de TagsDock

  • Sécurité

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut être en mesure d’intercepter une communication entre d’autres applications.

    Description : un problème permettait à une application malveillante d’intercepter le modèle de communication entre des applications. Le problème a été contourné par l’affichage d’une boîte de dialogue lors de la première utilisation d’un modèle d’URL.

    Référence CVE

    CVE-2015-5835 : Teun van Run de FiftyTwoDegreesNorth B.V., XiaoFeng Wang de l’Indiana University, Luyi Xing de l’Indiana University, Tongxin Li de la Peking University, Tongxin Li de la Peking University, Xiaolong Bai de la Tsinghua University.

  • Siri

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une personne disposant d’un accès physique à un appareil iOS peut utiliser Siri pour consulter des notifications comportant du contenu paramétré pour ne pas s’afficher sur l’écran verrouillé.

    Description : lorsqu’une requête était formulée à Siri, les restrictions côté client n’étaient pas vérifiées par le serveur. Ce problème a été résolu par une meilleure vérification des restrictions.

    Référence CVE

    CVE-2015-5892 : Robert S Mozayeni, Joshua Donvito.

  • SpringBoard

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une personne disposant d’un accès physique à un appareil iOS peut répondre à un message audio à partir de l’écran verrouillé alors que les aperçus de messages y sont désactivés.

    Description : un problème lié à l’écran verrouillé permettait aux utilisateurs de répondre à des messages audio alors que les aperçus sont désactivés. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-5861 : Daniel Miedema de Meridian Apps.

  • SpringBoard

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut entraîner une utilisation détournée des boîtes de dialogue d’une autre application.

    Description : les appels API privilégiés présentaient un problème d’accès. Ce problème a été résolu par la mise en place de restrictions supplémentaires.

    Référence CVE

    CVE-2015-5838 : Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui.

  • SQLite

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : SQLite 3.8.5 présentait plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités affectaient SQLite 3.8.5. Celles-ci ont été corrigées par la mise à jour de SQLite vers la version 3.8.10.2.

    Référence CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut conduire à l’exécution arbitraire de code.

    Conséquence : un problème de corruption de la mémoire existait dans Tidy. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5522 : Fernando Muñoz de NULLGroup.com.

    CVE-2015-5523 : Fernando Muñoz de NULLGroup.com.

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : les références d’objet peuvent être divulguées entre des origines isolées portant sur les événements custom, message et pop state.

    Description : un problème de divulgation d’objet excédait la limite d’isolation applicable aux origines. Ce problème a été résolu par une amélioration de l’isolation entre les origines.

    Référence CVE

    CVE-2015-5827 : Gildas.

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut conduire à l’exécution arbitraire de code.

    Description : WebKit présentait des problèmes de corruption de la mémoire. Ils ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5789 : Apple.

    CVE-2015-5790 : Apple.

    CVE-2015-5792 : Apple.

    CVE-2015-5794 : Apple.

    CVE-2015-5795 : Apple.

    CVE-2015-5796 : Apple.

    CVE-2015-5797 : Apple.

    CVE-2015-5799 : Apple.

    CVE-2015-5800 : Apple.

    CVE-2015-5801 : Apple.

    CVE-2015-5802 : Apple.

    CVE-2015-5803 : Apple.

    CVE-2015-5804 : Apple.

    CVE-2015-5805

    CVE-2015-5806 : Apple.

    CVE-2015-5807 : Apple.

    CVE-2015-5809 : Apple.

    CVE-2015-5810 : Apple.

    CVE-2015-5811 : Apple.

    CVE-2015-5812 : Apple.

    CVE-2015-5813 : Apple.

    CVE-2015-5817 : Apple.

    CVE-2015-5818 : Apple.

    CVE-2015-5819 : Apple.

    CVE-2015-5821 : Apple.

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut entraîner une numérotation non désirée.

    Description : un problème existait dans la gestion des URL tel://, facetime:// et facetime-audio://. Ce problème a été résolu par une meilleure gestion des URL.

    Référence CVE

    CVE-2015-5820 : Andrei Neculaesei, Guillaume Ross.

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : QuickType peut déterminer le dernier caractère du mot de passe dans un formulaire Web renseigné.

    Description : un problème existait dans la gestion par WebKit du contexte de saisie du mot de passe. Ce problème a été résolu par une amélioration de la gestion du contexte de saisie.

    Référence CVE

    CVE-2015-5906 : Louis Romero de Google Inc.

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant profitant d’une position privilégiée sur le réseau peut rediriger l’utilisateur vers un domaine malveillant.

    Description : la gestion des caches de ressource sur les sites sans certificats valides présentait un problème. Le problème a été résolu par le rejet du cache d’application pour les domaines sans certificats valides.

    Référence CVE

    CVE-2015-5907 : Yaoqi Jia de la National University of Singapore (NUS).

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un site Web malveillant est susceptible d’extraire des données provenant d’origines multiples.

    Description : Safari autorisait le chargement de feuilles de style d’origines multiples avec des types MIME non CSS, permettant ainsi d’extraire des données provenant d’origines multiples. Ce problème a été résolu en limitant les types MIME applicables aux feuilles de style d’origines multiples.

    Référence CVE

    CVE-2015-5826 : filedescriptor, Chris Evans.

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : l’API Performance peut autoriser un site Web malveillant à divulguer l’historique de navigation, l’activité sur le réseau et les mouvements de la souris.

    Description : l’API Performance de WebKit pouvait autoriser un site Web malveillant à divulguer, en mesurant la durée correspondante, l’historique de navigation, l’activité sur le réseau et les mouvements de la souris. Ce problème a été résolu en limitant la résolution de la durée.

    Référence CVE

    2015-CVE-5825 : Yossi Oren et al. de Network Security Lab de l'université de Columbia

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut divulguer des données sensibles.

    Description : les en-têtes Content-Disposition contenant une pièce jointe type présentaient un problème. Ce problème a été résolu par le retrait des autorisations associées à certaines fonctionnalités sur les pages avec pièce jointe type.

    Référence CVE

    CVE-2015-5921 : Mickey Shkatov de Intel(r) Advanced Threat Research Team, Daoyuan Wu de la Singapore Management University, Rocky K. C. Chang de la Hong Kong Polytechnic University, Łukasz Pilorz, superhei de www.knownsec.com

  • Canevas WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut entraîner la divulgation de données d’image provenant d’un autre site Web.

    Description : les images d’élément « canevas » liées à WebKit présentaient un problème provenant d’origines multiples. Ce problème a été résolu par l’amélioration de la fonction de suivi des origines de sécurité.

    Référence CVE

    CVE-2015-5788 : Apple.

  • Chargement de page WebKit

    Disponible pour : iPhone 4s et versions ultérieures, iPod touch (5ème génération) et versions ultérieures, iPad 2 et versions ultérieures

    Conséquence : WebSockets peut contourner le processus d’application liée à la stratégie de contenu mixte.

    Description : une application insuffisante de la stratégie permettait à WebSockets de charger du contenu mixte. Ce problème a été résolu par l’extension de l’application de la stratégie de contenu mixte à WebSockets.

    Kevin G. Jones de Higher Logic.

FaceTime n’est pas disponible dans certains pays ou certaines régions.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication :