À propos des correctifs de sécurité d’iOS 8.4.1
Ce document décrit les correctifs de sécurité de la mise à jour 8.4.1 d’iOS.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez la page Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
iOS 8.4.1
AppleFileConduit
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : l’utilisation d’une commande afc malveillante peut permettre l’accès à des sections protégées du système de fichiers.
Description : le mécanisme de liaison symbolique de la commande afc présentait un problème. Ce problème a été résolu par l’ajout de vérifications supplémentaires au niveau des chemins.
Référence CVE
CVE-2015-5746 : evad3rs, TaiG Jailbreak Team.
AirTraffic
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : il est possible qu’AirTraffic ait autorisé l’accès à des sections protégées du système de fichiers.
Description : un problème de traversée de chemin se produisait lors de la gestion des ressources. Ce problème a été résolu par une validation améliorée.
Référence CVE
CVE-2015-5766 : TaiG Jailbreak Team.
Sauvegarde
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : il est possible qu’une application malveillante entraîne la création de liens symboliques menant à des sections protégées du disque.
Description : la logique de validation des liens symboliques présentait un problème. Ce problème a été résolu par un nettoyage amélioré des chemins.
Référence CVE
CVE-2015-5752 : TaiG Jailbreak Team.
bootp
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : un attaquant peut être en mesure de déterminer à quels réseaux Wi-Fi un appareil s’est précédemment connecté.
Description : lors de la connexion d’un appareil à un réseau Wi-Fi donné, l’adresse MAC des réseaux auxquels ce même appareil s’était précédemment connecté pouvait être transmise. Ce problème a été résolu par la seule transmission des adresses MAC associées à l’identifiant SSID actuel.
Référence CVE
CVE-2015-3778 : Piers O’Hanlon de l’Oxford Internet Institute, à l’université d’Oxford et dans le cadre du projet EPSRC Being There.
Interface de certificats
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : un attaquant bénéficiant d’une place privilégiée sur le réseau peut être en mesure d’accepter des certificats non fiables à partir de l’écran de verrouillage.
Description : il arrivait qu’un appareil verrouillé présente une boîte de dialogue invitant à se fier ou non à un certificat. Ce problème a été résolu par une meilleure gestion des états.
Référence CVE
CVE-2015-3756 : Andy Grant de NCC Group.
CloudKit
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : une application malveillante est susceptible d’accéder à l’historique iCloud d’un utilisateur s’étant précédemment connecté.
Description : la déconnexion des utilisateurs de CloudKit présentait une incohérence d'état. Ce problème a été résolu par une meilleure gestion des états.
Référence CVE
CVE-2015-3782 : Deepkanwal Plaha de l’université de Toronto.
CFPreferences
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : une application malveillante est susceptible de lire les préférences de gestion d’autres applications.
Description : un problème existait au niveau du profil de sandbox d’applications tierces. Ce problème a été résolu par l’amélioration du profil de sandbox d’applications tierces.
Référence CVE
CVE-2015-3793 : Andreas Weinlein de l’Appthority Mobility Threat Team.
Signature par code
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : une application malveillante peut être en mesure d’exécuter du code non signé.
Description : un problème, permettant d’associer du code non signé à du code signé dans un fichier exécutable créé à cet effet, existait. Ce problème a été résolu par une meilleure validation des signatures par code.
Référence CVE
CVE-2015-3806 : TaiG Jailbreak Team.
Signature par code
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : l’exécution de code malveillant et non signé était possible via des fichiers exécutables créés à cet effet.
Description : l’évaluation des fichiers exécutables dotés d’architectures multiples présentait un problème susceptible de permettre l’exécution de code non signé. Ce problème a été résolu par une meilleure validation des fichiers exécutables.
Référence CVE
CVE-2015-3803 : TaiG Jailbreak Team.
Signature par code
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : un utilisateur local peut être en mesure d’exécuter un code non signé.
Description : un problème de validation se produisait lors de la gestion des fichiers Mach-O. Ce problème a été résolu par l’ajout de vérifications supplémentaires.
Référence CVE
CVE-2015-3802 : TaiG Jailbreak Team.
CVE-2015-3805 : TaiG Jailbreak Team.
CoreMedia Playback
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : l’ouverture d’un fichier vidéo malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : CoreMedia Playback présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5777 : Apple.
CVE-2015-5778 : Apple.
CoreText
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : le traitement d’un fichier de police malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de police. Ce problème a été résolu par une meilleure validation des entrées.
Référence CVE
CVE-2015-5755 : John Villamil (@day6reak), Yahoo Pentest Team.
CVE-2015-5761 : John Villamil (@day6reak), Yahoo Pentest Team.
Images disque
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : le traitement d’un fichier DMG malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code avec des privilèges système.
Description : l’analyse des images DMG problématiques présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-3800 : Frank Graziano de la Yahoo Pentest Team.
FontParser
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : le traitement d’un fichier de police malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de police. Ce problème a été résolu par une meilleure validation des entrées.
Références CVE
CVE-2015-3804 : Apple.
CVE-2015-5756 : John Villamil (@day6reak), Yahoo Pentest Team.
CVE-2015-5775 : Apple.
ImageIO
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : le traitement d’un fichier .tiff malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers .tiff. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2015-5758 : Apple.
ImageIO
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : la consultation d’un site Web malveillant peut entraîner la divulgation du contenu de la mémoire de traitement.
Description : un problème d’accès à la mémoire non initialisée existait au niveau de la gestion, par ImageIO, des images PNG. La consultation d’un site Web malveillant pouvait aboutir à l’envoi de données de la mémoire de traitement vers ledit site. Ce problème a été résolu par une initialisation améliorée de la mémoire et une validation supplémentaire des images PNG.
Référence CVE
CVE-2015-5781 : Michal Zalewski.
ImageIO
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : la consultation d’un site Web malveillant peut entraîner la divulgation du contenu de la mémoire de traitement.
Description : un problème d’accès à la mémoire non initialisée existait au niveau de la gestion, par ImageIO, des images TIFF. La consultation d’un site Web malveillant pouvait aboutir à l’envoi de données de la mémoire de traitement vers ledit site. Ce problème est résolu par une initialisation améliorée de la mémoire et une validation supplémentaire des images TIFF.
Référence CVE
CVE-2015-5782 : Michal Zalewski.
IOKit
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : l’analyse d’un fichier plist malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code avec des privilèges système.
Description : le traitement des fichiers plist problématiques présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-3776 : Teddy Reed de Facebook Security, Patrick Stein (@jollyjinx) de Jinx Germany.
IOHIDFamily
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.
Description : un problème de dépassement de la mémoire tampon affectait IOHIDFamily. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5774 : TaiG Jailbreak Team.
Noyau
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.
Description : l’interface mach_port_space_info présentait un problème, susceptible d’entraîner la divulgation de la structure de la mémoire du noyau. Ce problème a été résolu en désactivant l’interface mach_port_space_info.
Référence CVE
CVE-2015-3766 : Cererdlong de l’Alibaba Mobile Security Team, @PanguTeam.
Noyau
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.
Description : un problème de dépassement d’entier existait au niveau de la gestion des fonctions IOKit. Ce problème a été résolu par une meilleure validation des arguments de l’API IOKit.
Référence CVE
CVE-2015-3768 : Ilja van Sprundel.
Noyau
iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : une application malveillante peut ne pas tenir compte des restrictions applicables à l’exécution en arrière-plan.
Description : un problème existait au niveau de certains mécanismes de débogage. Ce problème a été résolu par l’ajout de vérifications supplémentaires.
Référence CVE
CVE-2015-5787 : Alessandro Reina, Mattia Pagnozzi et Stefano Bianchi Mazzone de FireEye.
Libc
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : le traitement d’une expression régulière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Conséquence : la bibliothèque TRE présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-3796 : Ian Beer de Google Project Zero.
CVE-2015-3797 : Ian Beer of Google Project Zero.
CVE-2015-3798 : Ian Beer of Google Project Zero.
Libinfo
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : le traitement des sockets AF_INET6 présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5776 : Apple.
libpthread
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.
Description : le traitement des fonctions syscall présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure vérification de l’état Verrouillé.
Référence CVE
CVE-2015-5757 : Lufeng Li de Qihoo 360.
libxml2
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : l’analyse d’un document XML malveillant peut mener à la divulgation des informations utilisateur.
Description : l’analyse des fichiers XML présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-3807 : Michal Zalewski.
libxml2
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : les versions de libxml2 antérieures à la version 2.9.2 présentaient plusieurs vulnérabilités, la plus importante pouvant permettre à un attaquant distant de provoquer un déni de service.
Description : plusieurs vulnérabilités affectaient les versions de libxml2 antérieures à la version 2.9.2. Elles ont été résolues par une mise à jour de libxml2 vers la version 2.9.2.
Référence CVE
CVE-2014-0191 : Felix Groebert de Google.
CVE-2014-3660 : Felix Groebert de Google.
libxpc
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.
Description : un problème de corruption de la mémoire existait au niveau de la gestion des messages XPC problématiques. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2015-3795 : Mathew Rowley.
Location Framework
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : un utilisateur local peut apporter des modifications à des sections protégées du système de fichiers.
Description : il existait un problème relatif aux liens symboliques, résolu par une meilleure validation des chemins.
Référence CVE
CVE-2015-3759 : Cererdlong de l’Alibaba Mobile Security Team.
MobileInstallation
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : une application malveillante d’entreprise peut remplacer des extensions associées à d’autres applications.
Description : un problème existait au niveau de la logique d’installation des applications utilisant un profil d’approvisionnement universel. Cela entraînait une collision avec les identifiants de paquets existants. Ce problème a été résolu par une meilleure validation des identifiants groupés.
Référence CVE
CVE-2015-5770 : Zhaofeng Chen, Yulong Zhang et Tao Wei de FireEye, Inc.
Gestionnaire MSVDX
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : la lecture d’une vidéo malveillante peut provoquer un arrêt inopiné du système.
Description : il existait un problème de déni de service, résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5769 : Proteas de Qihoo 360 Nirvan Team.
Office Viewer
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : l’analyse d’un fichier XML malveillant peut mener à la divulgation des informations utilisateur.
Description : l’analyse des fichiers XML présentait un problème de référencement d’entité externe. Ce problème a été résolu par une analyse améliorée.
Référence CVE
CVE-2015-3784 : Bruno Morisson d’INTEGRITY S.A.
QL Office
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : l’analyse d’un document Office malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : l’analyse des documents Office présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5773 : Apple.
Safari
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : la consultation d’un site Web malveillant peut entraîner une utilisation détournée de l’interface utilisateur.
Description : un site Web malveillant était en mesure de rediriger vers un autre site et d’inviter l’utilisateur à spécifier des informations personnelles, sans que celui-ci puisse déterminer l’origine de cette invite. Ce problème a été résolu par l’indication de cette même origine à l’utilisateur.
Référence CVE
CVE-2015-3729 : Code Audit Labs de VulnHunt.com.
Safari
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : un site Web malveillant est susceptible de provoquer l’affichage d’un nombre illimité de messages d’alerte.
Description : un problème existait, permettant à un site malveillant ou compromis d’afficher un nombre illimité de messages d’alerte et de faire croire aux utilisateurs que leur navigateur était verrouillé. Ce problème a été résolu par une meilleure gestion des messages d’alerte JavaScript.
Référence CVE
CVE-2015-3763
Sandbox_profiles
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : une application malveillante est susceptible de lire les préférences de gestion d’autres applications.
Description : un problème existait au niveau du profil de sandbox d’applications tierces. Ce problème a été résolu par l’amélioration du profil de sandbox d’applications tierces.
Référence CVE
CVE-2015-5749 : Andreas Weinlein de l’Appthority Mobility Threat Team.
UIKit WebView
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : une application malveillante peut démarrer des appels FaceTime sans que l’utilisateur ne l’ait autorisé.
Description : l’analyse des URL FaceTime dans WebViews présentait un problème. Ce problème a été résolu par une meilleure validation des URL.
Référence CVE
CVE-2015-3758 : Brian Simmons de Salesforce, Guillaume Ross.
WebKit
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : la consultation d’un site Web malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : WebKit présentait plusieurs problèmes de corruption de la mémoire. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-3730 : Apple.
CVE-2015-3731 : Apple.
CVE-2015-3732 : Apple.
CVE-2015-3733 : Apple.
CVE-2015-3734 : Apple.
CVE-2015-3735 : Apple.
CVE-2015-3736 : Apple.
CVE-2015-3737 : Apple.
CVE-2015-3738 : Apple.
CVE-2015-3739 : Apple.
CVE-2015-3740 : Apple.
CVE-2015-3741 : Apple.
CVE-2015-3742 : Apple.
CVE-2015-3743 : Apple.
CVE-2015-3744 : Apple.
CVE-2015-3745 : Apple.
CVE-2015-3746 : Apple.
CVE-2015-3747 : Apple.
CVE-2015-3748 : Apple.
CVE-2015-3749 : Apple.
Web
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : la consultation d’un site Web malveillant peut entraîner une utilisation détournée de l’interface utilisateur.
Description : l’accès à une URL incorrecte était susceptible d’autoriser un site Web malveillant à afficher une URL arbitraire. Ce problème a été résolu par une meilleure gestion des URL.
Référence CVE
CVE-2015-3755 : xisigr de Tencent's Xuanwu Lab.
WebKit
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : un site Web malveillant est susceptible d’extraire des données d’image provenant d’origines multiples.
Description : les images récupérées via des URL redirigeant vers une ressource données:image pouvaient avoir été extraites à partir d’origines multiples. Ce problème a été résolu par un meilleur suivi du canevas.
Référence CVE
CVE-2015-3753 : Antonio Sanso et Damien Antipa d’Adobe.
WebKit
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : un site Web malveillant est susceptible d’envoyer des requêtes au format texte vers une origine HSTS.
Description : un problème, lié à la non-conformité au mécanisme HSTS par les requêtes de rapport CSP, existait. Ce problème a été résolu par l’application du protocole HSTS au mécanisme CSP.
Référence CVE
CVE-2015-3750 : Muneaki Nishimura (nishimunea).
WebKit
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : un site Web malveillant est susceptible de générer un clic synthétique sur une autre page, via un toucher.
Description : la génération de clics synthétiques à partir de touchers présentait un problème redirigeant ceux-ci vers une autre page. Ce problème a été résolu en limitant la propagation des clics.
Référence CVE
CVE-2015-5759 : Phillip Moon et Matt Weston de Sandfield.
WebKit
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : les requêtes de rapports CSP sont susceptibles d’entraîner la perte de cookies.
Description : deux problèmes, liés à l’ajout de cookies aux requêtes de rapport CSP, existaient. Des cookies étaient envoyés avec les requêtes de rapport en provenance d’origines multiples, contrairement aux normes établies. Les cookies associés à la navigation standard étaient appliqués à la navigation privée. Ces problèmes ont été résolus par une meilleure gestion des cookies.
Référence CVE
CVE-2015-3752 : Muneaki Nishimura (nishimunea).
WebKit
Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs.
Conséquence : le chargement d’images est susceptible d’enfreindre les directives CSP d’un site Web.
Description : un problème existait, lié au chargement, sur des sites dotés de contrôles vidéo, d’images intégrées à des éléments d’objets ne respectant pas leurs directives CSP. Ce problème a été résolu par une meilleure mise en place CSP.
Référence CVE
CVE-2015-3751 : Muneaki Nishimura (nishimunea).
FaceTime n’est pas disponible dans certains pays ou certaines régions.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.