À propos des correctifs de sécurité de la mise à jour 1.1.1 de l’iPhone
Ce document décrit les correctifs de sécurité de la mise à jour 1.1.1 de l’iPhone.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».
Mise à jour 1.1.1 de l’iPhone
Bluetooth
Référence CVE : CVE-2007-3753
Conséquence : un attaquant à portée du Bluetooth peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : il existe un problème de validation des entrées dans le serveur Bluetooth de l’iPhone. En envoyant des paquets SDP (Service Discovery Protocol) malveillants à un iPhone sur lequel le Bluetooth est activé, un attaquant peut déclencher le problème, ce qui peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en effectuant une validation supplémentaire des paquets SDP. Merci à Kevin Mahaffey et à John Hering de Flexilis Mobile Security d’avoir signalé ce problème.
Référence CVE : CVE-2007-3754
Conséquence : la consultation d’e-mails sur des réseaux non fiables peut entraîner la divulgation d’informations par le biais d’une attaque de l’homme du milieu.
Description : lorsque Mail est configuré de façon à utiliser SSL pour les connexions entrantes et sortantes, il n’avertit pas l’utilisateur lorsque l’identité du serveur de messagerie a changé ou n’est pas fiable. Un attaquant capable d’intercepter la connexion peut usurper l’identité du serveur de messagerie de l’utilisateur et obtenir ses identifiants de messagerie ou d’autres informations sensibles. Cette mise à jour résout le problème en envoyant des avertissements lorsque l’identité du serveur de messagerie distant a changé.
Référence CVE : CVE-2007-3755
Conséquence : suivre un lien téléphonique (« tél : ») dans Mail permet de composer un numéro de téléphone sans confirmation.
Description : Mail prend en charge les liens téléphoniques (« tél : ») permettant de composer des numéros de téléphone. En incitant un utilisateur à suivre un lien téléphonique dans un e-mail, un attaquant peut forcer l’iPhone à passer un appel sans confirmation de l’utilisateur. Cette mise à jour résout le problème en fournissant une fenêtre de confirmation avant de composer un numéro de téléphone via un lien téléphonique dans Mail. Merci à Andi Baritchi de McAfee d’avoir signalé ce problème.
Safari
Référence CVE : CVE-2007-3756
Conséquence : la consultation d’un site web malveillant peut entraîner la divulgation du contenu de l’URL.
Description : un problème de conception dans Safari permet à une page web de lire l’URL actuellement affichée dans sa fenêtre mère. En incitant un utilisateur à consulter une page web malveillante, un attaquant peut obtenir l’URL d’une page non liée. Cette mise à jour résout le problème grâce à une meilleure vérification de la sécurité inter-domaines. Merci à Michal Zalewski de Google Inc. et Secunia Research d’avoir signalé ce problème.
Safari
Référence CVE : CVE-2007-3757
Conséquence : la consultation d’un site web malveillant peut entraîner la composition involontaire d’un numéro ou la composition d’un numéro différent de celui prévu.
Description : Safari prend en charge les liens téléphoniques (« tél : ») permettant de composer des numéros de téléphone. Lorsqu’un lien téléphonique est sélectionné, Safari confirme que le numéro doit être composé. Un lien téléphonique malveillant peut, lors de la confirmation, entraîner l’affichage d’un numéro différent de celui qui a effectivement été composé. La fermeture de Safari pendant le processus de confirmation peut entraîner une confirmation involontaire. Cette mise à jour résout le problème en affichant correctement le numéro qui sera composé et en demandant une confirmation pour les liens téléphoniques. Merci à Billy Hoffman et à Bryan Sullivan de HP Security Labs (anciennement SPI Labs) ainsi qu’à Eduardo Tang d’avoir signalé ce problème.
Safari
Référence CVE : CVE-2007-3758
Conséquence : la consultation d’un site web malveillant peut entraîner l’injection de code indirect.
Description : il existe dans Safari une vulnérabilité d’injection de code indirect qui permet aux sites web malveillants de définir les propriétés de fenêtre JavaScript des sites web diffusés à partir d’un domaine différent. En incitant un utilisateur à consulter un site web malveillant, un attaquant peut déclencher le problème, ce qui entraîne l’obtention ou la définition de l’état de la fenêtre et de l’emplacement des pages diffusées à partir d’autres sites web. Cette mise à jour résout le problème en fournissant des contrôles d’accès améliorés sur ces propriétés. Merci à Michal Zalewski de Google Inc. d’avoir signalé ce problème.
Safari
Référence CVE : CVE-2007-3759
Conséquence : la désactivation de JavaScript ne prend pas effet tant que Safari n’a pas été redémarré.
Description : Safari peut être configuré pour activer ou désactiver JavaScript. Cette préférence ne prendra effet qu’au redémarrage de Safari. Cela se produit généralement au redémarrage de l’iPhone. Cela peut amener les utilisateurs à croire que JavaScript est désactivé alors qu’il ne l’est pas. Cette mise à jour résout le problème en appliquant la nouvelle préférence avant de charger de nouvelles pages web.
Safari
Référence CVE : CVE-2007-3760
Conséquence : la consultation d’un site web malveillant peut entraîner l’injection de code indirect.
Description : un problème d’injection de code indirect dans Safari permet à un site web malveillant de contourner la politique de même origine à l’aide de balises « frame ». En incitant un utilisateur à consulter une page web malveillante, un attaquant peut déclencher le problème, ce qui peut entraîner l’exécution de JavaScript dans le contexte d’un autre site. Cette mise à jour résout le problème en désactivant JavaScript en tant que source « iframe » et en limitant JavaScript dans les balises frame au même accès que le site à partir duquel il a été diffusé. Merci à Michal Zalewski de Google Inc. et Secunia Research d’avoir signalé ce problème.
Safari
Référence CVE : CVE-2007-3761
Conséquence : la consultation d’un site web malveillant peut entraîner l’injection de code indirect.
Description : un problème d’injection de code indirect dans Safari permet d’associer des évènements JavaScript à la mauvaise frame. En incitant un utilisateur à consulter une page web malveillante, un attaquant peut provoquer l’exécution de JavaScript dans le contexte d’un autre site. Cette mise à jour résout le problème en associant des évènements JavaScript à la bonne frame source.
Safari
Référence CVE : CVE-2007-4671
Conséquence : JavaScript sur les sites web peut accéder au contenu des documents diffusés via HTTPS ou le manipuler.
Description : un problème dans Safari permet au contenu diffusé via HTTP de modifier ou d’accéder au contenu diffusé via HTTPS dans le même domaine. En incitant un utilisateur à consulter une page web malveillante, un attaquant peut provoquer l’exécution de JavaScript dans le contexte de pages web HTTPS dans ce domaine. Cette mise à jour résout le problème en limitant l’accès entre l’exécution de JavaScript dans les frames HTTP et HTTPS. Merci à Keigo Yamazaki de LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) d’avoir signalé ce problème.
Remarque sur l’installation :
Cette mise à jour est uniquement disponible via iTunes et n’apparaîtra pas dans l’application Mise à jour de logiciels de votre ordinateur, ni sur le site Téléchargements Apple. Assurez-vous que vous disposez d’une connexion Internet et que vous avez installé la dernière version d’iTunes à partir de la page http://www.apple.com/fr/itunes/.
iTunes vérifie automatiquement le serveur de mise à jour d’Apple selon son calendrier hebdomadaire. Lorsqu’une mise à jour est détectée, il la télécharge. Une fois l’iPhone sur le dock, iTunes présentera l’option permettant d’installer la mise à jour à l’utilisateur. Nous vous recommandons d’appliquer la mise à jour immédiatement si possible. Si vous sélectionnez « Ne pas installer », l’option s’affichera la prochaine fois que vous connecterez votre iPhone.
Le processus de mise à jour automatique peut prendre jusqu’à une semaine en fonction du jour où iTunes recherche les mises à jour. Vous pouvez obtenir manuellement la mise à jour via le bouton « Rechercher les mises à jour » dans iTunes. Après cela, la mise à jour peut être appliquée lorsque votre iPhone est sur le dock de votre ordinateur.
Pour vérifier que l’iPhone a été mis à jour :
Accédez à Réglages.
Cliquez sur Général.
Cliquez sur À propos. Après avoir appliqué cette mise à jour, la version sera « 1.1.1 (3A109a) ».