Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Xmco : Apple, Correction de nombreuses vulnérabilités au sein de l’iPhone et de l’iPod touch

novembre 2008 par XMCO PARTNERS

Apple iPhone / iPod touch Multiple Vulnerabilities

- Date : 21 Novembre 2008

- Plateforme : Mac OS X

- Programmes :
* iPhone
* IPod Touch

- Gravité : Elevée

- Exploitation : Distante

- Dommages :

Déni de service
Accès au système
Contournement de sécurité
Vol d’informations
Vol de session

- Description :

Apple vient de sortir une nouvelle version de son système d’exploitation mobile destiné au téléphone portable iPhone et au lecteur multimédia iPod Touch. Celle-ci corrige de nombreuses vulnérabilités permettant d’obtenir des informations sensibles, d’usurper l’identité d’un utilisateur, de contourner les mesures de sécurité, de provoquer un déni de service (DoS) ou encore d’accéder au système.

Tout d’abord, une mauvaise gestion des arguments de CoreGraphics permettait à un utilisateur de corrompre la mémoire. En incitant sa victime à visiter un site web judicieusement conçu, un pirate pouvait exploiter cette vulnérabilité afin de pénétrer dans le système.

D’autre part, plusieurs problèmes lors du traitement des images .TIFF permettaient d’exécuter un code malicieux ou un redémarrage de l’appareil.

Le chiffrement PPTP utilisé lors des connexions VPN, s’avérait moindre que celui attendu.

Plusieurs erreurs au sein de QuickLook permettaient à un attaquant d’exécuter un code malicieux lors de l’ouverture d’un fichier excel corrompu.

La fonctionnalité d’appel d’urgence permettait de contourner les mesures de sécurité afin qu’une personne ayant un accès physique au matériel puisse effectuer des appels téléphoniques sans restriction.

Enfin, des erreurs au sein du navigateur internet Safari permettaient à un pirate d’exécuter un code malicieux lors de l’ouverture d’une page web contenant un tableau HTML, d’utiliser des iframes afin de tromper l’utilisateur sur le contenu visualisé, d’effectuer des appels téléphoniques sans interaction avec l’utilisateur et d’empêcher que celui-ci les annule via la fonctionnalité de lancement d’application. Enfin, un pirate pouvait obtenir des informations sensibles (login, password, numéros de carte bancaire...) enregistrées dans des champs de formulaires malgré que la fonction HTML "autocomplete=off" soit mise en place.

- Vulnérable :
* iPhone
* iPod Touch

- Référence :

http://support.apple.com/kb/HT3318

- Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1586

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2321

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2327

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3644

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4211

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4227

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4228

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4229

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4230

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4231

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4232

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4233

- Correction : Nous vous recommandons d’installer la version 2.2 du système d’exploitation de l’iPhone et de iPod touch.

Cette nouvelle version est téléchargeable et installable via le logiciel iTunes.

- Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1227290938




Voir les articles précédents

    

Voir les articles suivants