Xmco : Apple, Correction de nombreuses vulnérabilités au sein de l’iPhone et de l’iPod touch
novembre 2008 par XMCO PARTNERS
Apple iPhone / iPod touch Multiple Vulnerabilities
– Date : 21 Novembre 2008
– Plateforme : Mac OS X
– Programmes :
* iPhone
* IPod Touch
– Gravité : Elevée
– Exploitation : Distante
– Dommages :
Déni de service
Accès au système
Contournement de sécurité
Vol d’informations
Vol de session
– Description :
Apple vient de sortir une nouvelle version de son système d’exploitation mobile destiné au téléphone portable iPhone et au lecteur multimédia iPod Touch. Celle-ci corrige de nombreuses vulnérabilités permettant d’obtenir des informations sensibles, d’usurper l’identité d’un utilisateur, de contourner les mesures de sécurité, de provoquer un déni de service (DoS) ou encore d’accéder au système.
Tout d’abord, une mauvaise gestion des arguments de CoreGraphics permettait à un utilisateur de corrompre la mémoire. En incitant sa victime à visiter un site web judicieusement conçu, un pirate pouvait exploiter cette vulnérabilité afin de pénétrer dans le système.
D’autre part, plusieurs problèmes lors du traitement des images .TIFF permettaient d’exécuter un code malicieux ou un redémarrage de l’appareil.
Le chiffrement PPTP utilisé lors des connexions VPN, s’avérait moindre que celui attendu.
Plusieurs erreurs au sein de QuickLook permettaient à un attaquant d’exécuter un code malicieux lors de l’ouverture d’un fichier excel corrompu.
La fonctionnalité d’appel d’urgence permettait de contourner les mesures de sécurité afin qu’une personne ayant un accès physique au matériel puisse effectuer des appels téléphoniques sans restriction.
Enfin, des erreurs au sein du navigateur internet Safari permettaient à un pirate d’exécuter un code malicieux lors de l’ouverture d’une page web contenant un tableau HTML, d’utiliser des iframes afin de tromper l’utilisateur sur le contenu visualisé, d’effectuer des appels téléphoniques sans interaction avec l’utilisateur et d’empêcher que celui-ci les annule via la fonctionnalité de lancement d’application. Enfin, un pirate pouvait obtenir des informations sensibles (login, password, numéros de carte bancaire...) enregistrées dans des champs de formulaires malgré que la fonction HTML "autocomplete=off" soit mise en place.
– Vulnérable :
* iPhone
* iPod Touch
– Référence :
http://support.apple.com/kb/HT3318
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1586
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2321
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2327
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3644
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4211
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4227
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4228
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4229
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4230
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4231
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4232
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4233
– Correction :
Nous vous recommandons d’installer la version 2.2 du système d’exploitation de l’iPhone et de iPod touch.
Cette nouvelle version est téléchargeable et installable via le logiciel iTunes.
– Lien extranet XMCO :
http://xmcopartners.com/veille/client/index.xmco?nv=1227290938