Agence nationale
de la sécurité des
systèmes d'information
No CERTA-2011-ALE-004-001
| S . G . D . S . N Agence nationale de la sécurité des systèmes d'information |
|
Paris, le 18 juillet 2011 No CERTA-2011-ALE-004-001 |
Affaire suivie par :
CERTA
Objet : Vulnérabilités dans
Apple iOS
| Conditions d'utilisation de ce document : | http://www.certa.ssi.gouv.fr/certa/apropos.html |
| Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2011-ALE-004 |
Une gestion de version détaillée se trouve à la fin de ce document.
Deux vulnérabilités non corrigées ont été découvertes dans l'Apple iOS.
Deux vulnérabilités ont été découvertes dans l'Apple iOS. La première concerne le traitement des fichiers au format PDF et permet l'exécution de code arbitraire à distance. La seconde est une vulnérabilité du noyau utilisable pour effectuer une élévation de privilèges. La combinaison des deux permet à une personne malintentionnée d'exécuter du code arbitraire à distance avec les droits administrateur et d'accéder ainsi à l'ensemble des informations (contacts, mails, documents ...) et ressources (caméra, micro, GPS...) de l'appareil. Des preuves de faisabilité circulent déjà sur l'Internet. Ces vulnérabilités sont, entre autre, utilisées pour effectuer le Jailbreak.
En attendant le correctif d'Apple, il est recommandé la plus grande prudence lors de l'ouverture de fichiers au format PDF, par exemple en n'ouvrant que des fichiers attendus ou en validant la légitimité du message auprès de l'envoyeur.
Se référer au bulletin de sécurité Apple HT4802 et HT4803 pour l'obtention des correctifs (cf. section Documentation).
http://support.apple.com/kb/HT4802
http://support.apple.com/kb/HT4803
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3855
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0226
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0227