À propos des correctifs de sécurité d’iOS 8.4.1

Ce document décrit les correctifs de sécurité de la mise à jour 8.4.1 d’iOS.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez la page Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

iOS 8.4.1

  • AppleFileConduit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : l’utilisation d’une commande afc malveillante peut permettre l’accès à des sections protégées du système de fichiers.

    Description : le mécanisme de liaison symbolique de la commande afc présentait un problème. Ce problème a été résolu par l’ajout de vérifications supplémentaires au niveau des chemins.

    Référence CVE

    CVE-2015-5746 : evad3rs, TaiG Jailbreak Team.

  • AirTraffic

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : il est possible qu’AirTraffic ait autorisé l’accès à des sections protégées du système de fichiers.

    Description : un problème de traversée de chemin se produisait lors de la gestion des ressources. Ce problème a été résolu par une validation améliorée.

    Référence CVE

    CVE-2015-5766 : TaiG Jailbreak Team.

  • Sauvegarde

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : il est possible qu’une application malveillante entraîne la création de liens symboliques menant à des sections protégées du disque.

    Description : la logique de validation des liens symboliques présentait un problème. Ce problème a été résolu par un nettoyage amélioré des chemins.

    Référence CVE

    CVE-2015-5752 : TaiG Jailbreak Team.

  • bootp

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant peut être en mesure de déterminer à quels réseaux Wi-Fi un appareil s’est précédemment connecté.

    Description : lors de la connexion d’un appareil à un réseau Wi-Fi donné, l’adresse MAC des réseaux auxquels ce même appareil s’était précédemment connecté pouvait être transmise. Ce problème a été résolu par la seule transmission des adresses MAC associées à l’identifiant SSID actuel.

    Référence CVE

    CVE-2015-3778 : Piers O’Hanlon de l’Oxford Internet Institute, à l’université d’Oxford et dans le cadre du projet EPSRC Being There.

  • Interface de certificats

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant bénéficiant d’une place privilégiée sur le réseau peut être en mesure d’accepter des certificats non fiables à partir de l’écran de verrouillage.

    Description : il arrivait qu’un appareil verrouillé présente une boîte de dialogue invitant à se fier ou non à un certificat. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-3756 : Andy Grant de NCC Group.

  • CloudKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante est susceptible d’accéder à l’historique iCloud d’un utilisateur s’étant précédemment connecté.

    Description : la déconnexion des utilisateurs de CloudKit présentait une incohérence d'état. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2015-3782 : Deepkanwal Plaha de l’université de Toronto.

  • CFPreferences

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante est susceptible de lire les préférences de gestion d’autres applications.

    Description : un problème existait au niveau du profil de sandbox d’applications tierces. Ce problème a été résolu par l’amélioration du profil de sandbox d’applications tierces.

    Référence CVE

    CVE-2015-3793 : Andreas Weinlein de l’Appthority Mobility Threat Team.

  • Signature par code

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut être en mesure d’exécuter du code non signé.

    Description : un problème, permettant d’associer du code non signé à du code signé dans un fichier exécutable créé à cet effet, existait. Ce problème a été résolu par une meilleure validation des signatures par code.

    Référence CVE

    CVE-2015-3806 : TaiG Jailbreak Team.

  • Signature par code

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : l’exécution de code malveillant et non signé était possible via des fichiers exécutables créés à cet effet.

    Description : l’évaluation des fichiers exécutables dotés d’architectures multiples présentait un problème susceptible de permettre l’exécution de code non signé. Ce problème a été résolu par une meilleure validation des fichiers exécutables.

    Référence CVE

    CVE-2015-3803 : TaiG Jailbreak Team.

  • Signature par code

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un utilisateur local peut être en mesure d’exécuter un code non signé.

    Description : un problème de validation se produisait lors de la gestion des fichiers Mach-O. Ce problème a été résolu par l’ajout de vérifications supplémentaires.

    Référence CVE

    CVE-2015-3802 : TaiG Jailbreak Team.

    CVE-2015-3805 : TaiG Jailbreak Team.

  • CoreMedia Playback

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : CoreMedia Playback présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5777 : Apple.

    CVE-2015-5778 : Apple.

  • CoreText

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : le traitement d’un fichier de police malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de police. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-5755 : John Villamil (@day6reak), Yahoo Pentest Team.

    CVE-2015-5761 : John Villamil (@day6reak), Yahoo Pentest Team.

  • Images disque

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : le traitement d’un fichier DMG malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code avec des privilèges système.

    Description : l’analyse des images DMG problématiques présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3800 : Frank Graziano de la Yahoo Pentest Team.

  • FontParser

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : le traitement d’un fichier de police malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de police. Ce problème a été résolu par une meilleure validation des entrées.

    Références CVE

    CVE-2015-3804 : Apple.

    CVE-2015-5756 : John Villamil (@day6reak), Yahoo Pentest Team.

    CVE-2015-5775 : Apple.

  • ImageIO

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : le traitement d’un fichier .tiff malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers .tiff. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5758 : Apple.

  • ImageIO

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut entraîner la divulgation du contenu de la mémoire de traitement.

    Description : un problème d’accès à la mémoire non initialisée existait au niveau de la gestion, par ImageIO, des images PNG. La consultation d’un site Web malveillant pouvait aboutir à l’envoi de données de la mémoire de traitement vers ledit site. Ce problème a été résolu par une initialisation améliorée de la mémoire et une validation supplémentaire des images PNG.

    Référence CVE

    CVE-2015-5781 : Michal Zalewski.

  • ImageIO

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut entraîner la divulgation du contenu de la mémoire de traitement.

    Description : un problème d’accès à la mémoire non initialisée existait au niveau de la gestion, par ImageIO, des images TIFF. La consultation d’un site Web malveillant pouvait aboutir à l’envoi de données de la mémoire de traitement vers ledit site. Ce problème est résolu par une initialisation améliorée de la mémoire et une validation supplémentaire des images TIFF.

    Référence CVE

    CVE-2015-5782 : Michal Zalewski.

  • IOKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : l’analyse d’un fichier plist malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code avec des privilèges système.

    Description : le traitement des fichiers plist problématiques présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3776 : Teddy Reed de Facebook Security, Patrick Stein (@jollyjinx) de Jinx Germany.

  • IOHIDFamily

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de dépassement de la mémoire tampon affectait IOHIDFamily. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5774 : TaiG Jailbreak Team.

  • Noyau

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : l’interface mach_port_space_info présentait un problème, susceptible d’entraîner la divulgation de la structure de la mémoire du noyau. Ce problème a été résolu en désactivant l’interface mach_port_space_info.

    Référence CVE

    CVE-2015-3766 : Cererdlong de l’Alibaba Mobile Security Team, @PanguTeam.

  • Noyau

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de dépassement d’entier existait au niveau de la gestion des fonctions IOKit. Ce problème a été résolu par une meilleure validation des arguments de l’API IOKit.

    Référence CVE

    CVE-2015-3768 : Ilja van Sprundel.

  • Noyau

    iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut ne pas tenir compte des restrictions applicables à l’exécution en arrière-plan.

    Description : un problème existait au niveau de certains mécanismes de débogage. Ce problème a été résolu par l’ajout de vérifications supplémentaires.

    Référence CVE

    CVE-2015-5787 : Alessandro Reina, Mattia Pagnozzi et Stefano Bianchi Mazzone de FireEye.

  • Libc

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : le traitement d’une expression régulière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Conséquence : la bibliothèque TRE présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3796 : Ian Beer de Google Project Zero.

    CVE-2015-3797 : Ian Beer of Google Project Zero.

    CVE-2015-3798 : Ian Beer of Google Project Zero.

  • Libinfo

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : le traitement des sockets AF_INET6 présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5776 : Apple.

  • libpthread

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : le traitement des fonctions syscall présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure vérification de l’état Verrouillé.

    Référence CVE

    CVE-2015-5757 : Lufeng Li de Qihoo 360.

  • libxml2

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : l’analyse d’un document XML malveillant peut mener à la divulgation des informations utilisateur.

    Description : l’analyse des fichiers XML présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3807 : Michal Zalewski.

  • libxml2

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : les versions de libxml2 antérieures à la version 2.9.2 présentaient plusieurs vulnérabilités, la plus importante pouvant permettre à un attaquant distant de provoquer un déni de service.

    Description : plusieurs vulnérabilités affectaient les versions de libxml2 antérieures à la version 2.9.2. Elles ont été résolues par une mise à jour de libxml2 vers la version 2.9.2.

    Référence CVE

    CVE-2014-0191 : Felix Groebert de Google.

    CVE-2014-3660 : Felix Groebert de Google.

  • libxpc

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : un problème de corruption de la mémoire existait au niveau de la gestion des messages XPC problématiques. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-3795 : Mathew Rowley.

  • Location Framework

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un utilisateur local peut apporter des modifications à des sections protégées du système de fichiers.

    Description : il existait un problème relatif aux liens symboliques, résolu par une meilleure validation des chemins.

    Référence CVE

    CVE-2015-3759 : Cererdlong de l’Alibaba Mobile Security Team.

  • MobileInstallation

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante d’entreprise peut remplacer des extensions associées à d’autres applications.

    Description : un problème existait au niveau de la logique d’installation des applications utilisant un profil d’approvisionnement universel. Cela entraînait une collision avec les identifiants de paquets existants. Ce problème a été résolu par une meilleure validation des identifiants groupés.

    Référence CVE

    CVE-2015-5770 : Zhaofeng Chen, Yulong Zhang et Tao Wei de FireEye, Inc.

  • Gestionnaire MSVDX

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la lecture d’une vidéo malveillante peut provoquer un arrêt inopiné du système.

    Description : il existait un problème de déni de service, résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5769 : Proteas de Qihoo 360 Nirvan Team.

  • Office Viewer

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : l’analyse d’un fichier XML malveillant peut mener à la divulgation des informations utilisateur.

    Description : l’analyse des fichiers XML présentait un problème de référencement d’entité externe. Ce problème a été résolu par une analyse améliorée.

    Référence CVE

    CVE-2015-3784 : Bruno Morisson d’INTEGRITY S.A.

  • QL Office

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : l’analyse d’un document Office malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : l’analyse des documents Office présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5773 : Apple.

  • Safari

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut entraîner une utilisation détournée de l’interface utilisateur.

    Description : un site Web malveillant était en mesure de rediriger vers un autre site et d’inviter l’utilisateur à spécifier des informations personnelles, sans que celui-ci puisse déterminer l’origine de cette invite. Ce problème a été résolu par l’indication de cette même origine à l’utilisateur.

    Référence CVE

    CVE-2015-3729 : Code Audit Labs de VulnHunt.com.

  • Safari

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un site Web malveillant est susceptible de provoquer l’affichage d’un nombre illimité de messages d’alerte.

    Description : un problème existait, permettant à un site malveillant ou compromis d’afficher un nombre illimité de messages d’alerte et de faire croire aux utilisateurs que leur navigateur était verrouillé. Ce problème a été résolu par une meilleure gestion des messages d’alerte JavaScript.

    Référence CVE

    CVE-2015-3763

  • Sandbox_profiles

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante est susceptible de lire les préférences de gestion d’autres applications.

    Description : un problème existait au niveau du profil de sandbox d’applications tierces. Ce problème a été résolu par l’amélioration du profil de sandbox d’applications tierces.

    Référence CVE

    CVE-2015-5749 : Andreas Weinlein de l’Appthority Mobility Threat Team.

  • UIKit WebView

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : une application malveillante peut démarrer des appels FaceTime sans que l’utilisateur ne l’ait autorisé.

    Description : l’analyse des URL FaceTime dans WebViews présentait un problème. Ce problème a été résolu par une meilleure validation des URL.

    Référence CVE

    CVE-2015-3758 : Brian Simmons de Salesforce, Guillaume Ross.

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

    Description : WebKit présentait plusieurs problèmes de corruption de la mémoire. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3730 : Apple.

    CVE-2015-3731 : Apple.

    CVE-2015-3732 : Apple.

    CVE-2015-3733 : Apple.

    CVE-2015-3734 : Apple.

    CVE-2015-3735 : Apple.

    CVE-2015-3736 : Apple.

    CVE-2015-3737 : Apple.

    CVE-2015-3738 : Apple.

    CVE-2015-3739 : Apple.

    CVE-2015-3740 : Apple.

    CVE-2015-3741 : Apple.

    CVE-2015-3742 : Apple.

    CVE-2015-3743 : Apple.

    CVE-2015-3744 : Apple.

    CVE-2015-3745 : Apple.

    CVE-2015-3746 : Apple.

    CVE-2015-3747 : Apple.

    CVE-2015-3748 : Apple.

    CVE-2015-3749 : Apple.

  • Web

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : la consultation d’un site Web malveillant peut entraîner une utilisation détournée de l’interface utilisateur.

    Description : l’accès à une URL incorrecte était susceptible d’autoriser un site Web malveillant à afficher une URL arbitraire. Ce problème a été résolu par une meilleure gestion des URL.

    Référence CVE

    CVE-2015-3755 : xisigr de Tencent's Xuanwu Lab.

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un site Web malveillant est susceptible d’extraire des données d’image provenant d’origines multiples.

    Description : les images récupérées via des URL redirigeant vers une ressource données:image pouvaient avoir été extraites à partir d’origines multiples. Ce problème a été résolu par un meilleur suivi du canevas.

    Référence CVE

    CVE-2015-3753 : Antonio Sanso et Damien Antipa d’Adobe.

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un site Web malveillant est susceptible d’envoyer des requêtes au format texte vers une origine HSTS.

    Description : un problème, lié à la non-conformité au mécanisme HSTS par les requêtes de rapport CSP, existait. Ce problème a été résolu par l’application du protocole HSTS au mécanisme CSP.

    Référence CVE

    CVE-2015-3750 : Muneaki Nishimura (nishimunea).

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : un site Web malveillant est susceptible de générer un clic synthétique sur une autre page, via un toucher.

    Description : la génération de clics synthétiques à partir de touchers présentait un problème redirigeant ceux-ci vers une autre page. Ce problème a été résolu en limitant la propagation des clics.

    Référence CVE

    CVE-2015-5759 : Phillip Moon et Matt Weston de Sandfield.

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : les requêtes de rapports CSP sont susceptibles d’entraîner la perte de cookies.

    Description : deux problèmes, liés à l’ajout de cookies aux requêtes de rapport CSP, existaient. Des cookies étaient envoyés avec les requêtes de rapport en provenance d’origines multiples, contrairement aux normes établies. Les cookies associés à la navigation standard étaient appliqués à la navigation privée. Ces problèmes ont été résolus par une meilleure gestion des cookies.

    Référence CVE

    CVE-2015-3752 : Muneaki Nishimura (nishimunea).

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.

    Conséquence : le chargement d’images est susceptible d’enfreindre les directives CSP d’un site Web.

    Description : un problème existait, lié au chargement, sur des sites dotés de contrôles vidéo, d’images intégrées à des éléments d’objets ne respectant pas leurs directives CSP. Ce problème a été résolu par une meilleure mise en place CSP.

    Référence CVE

    CVE-2015-3751 : Muneaki Nishimura (nishimunea).

FaceTime n’est pas disponible dans certains pays ou certaines régions.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: