Mise a jour critique pour iPhone et iPod Touch

Mise a jour critique pour iPhone et iPod Touch

Mise a jour critique pour iPhone et iPod Touch

Vous vous en êtes sans doute aperçu, mais une nouvelle mise à jour de l’iPhone OS est sortie. Numéroté 3.1.3, elle n’apporte aucune nouveauté, oui c’est décevant mais c’est comme cela. Par contre, le lot de failles patchées est assez impressionnant. On pourrais presque croire à une FAILLE GENERALISEE touchant la gestion des média (audio/image/video).

Concrètement, que patch cette nouvelle mise à jour ?

CoreAudio

Impact: Playing a maliciously crafted mp4 audio file may lead to an unexpected application termination or arbitrary code execution

Description: A buffer overflow exists in the handling of mp4 audio files. Playing a maliciously crafted mp4 audio file may lead to an unexpected application termination or arbitrary code execution. This issue is addressed through improved bounds checking. Credit to Tobias Klein of trapkit.de for reporting this issue.

Pour résumer, lire en fichier malicieux (audio) pourrais provoquer une crash inattendu de l’application (iPod) et permettre l’execution de code malicieux.

ImageIO

Impact: Viewing a maliciously crafted TIFF image may lead to an unexpected application termination or arbitrary code execution

Description: A buffer underflow exists in ImageIO’s handling of TIFF images. Viewing a maliciously crafted TIFF image may lead to an unexpected application termination or arbitrary code execution. This issue is addressed through improved bounds checking.

Pour résumer , la lecture d’un fichier image TIFF modifié pourrais provoquer également un crash inattendu de l’application et l’execution de code arbitraire. Pas de grand étonnement par contre ici, les TIFF de par leur aspect technique ont toujours été sujettes à provoquer des bugs dans les applications. Pour mémoire, on pourra noter les hack de PSP qui exploitent/exploitaient cette technique.

Recovery Mode

Impact: A person with physical access to a locked device may be able to access the user’s data

Description: A memory corruption issue exists in the handling of a certain USB control message. A person with physical access to the device could use this to bypass the passcode and access the user’s data. This issue is addressed through improved handling of the USB control message.

Assez grave cette faille : Si une personne mal intentionnée mettaient la main sur votre iPhone, même verrouillé, elle pourrais utiliser un bug de la gestion du protocole de controle USB pour outrepasser le déblocage de l’appareil et donc accéder à toutes vos données personelles.

WebKit

Impact: Accessing a maliciously crafted FTP server could result in an unexpected application termination, information disclosure, or arbitrary code execution

Description: Multiple input validation issues exist in WebKit’s handling of FTP directory listings. Accessing a maliciously crafted FTP server may lead to information disclosure, unexpected application termination, or execution of arbitrary code. This update addresses the issues through improved parsing of FTP directory listings. Credit to Michal Zalewski of Google Inc. for reporting these issues.

Là aussi faille assez sévère, l’acces à un serveur FTP correctement préparé pour l’occasion peut provoquer la divulgation d’informations, le crash de l’application et l’execution de code arbitraire. Cette faille affectant WebKit, elle est peut être également présente dans les version non mobile de l’application, bien que nous n’ayons trouvé aucune trace de cela sur l’espace développer de webkit.

WebKit

Impact: Mail may load remote audio and video content when remote image loading is disabled

Description: When WebKit encounters an HTML 5 Media Element pointing to an external resource, it does not issue a resource load callback to determine if the resource should be loaded. This may result in undesired requests to remote servers. As an example, the sender of an HTML-formatted email message could use this to determine that the message was read. This issue is addressed by generating resource load callbacks when WebKit encounters an HTML 5 Media Element.

Rien de bien méchant ici, cela concerne le rendu des éléments HTML5 dans les emails. Au lieux de vérifier si les données sont téléchargeable au préalable, webkit tente de la charger directement. Ce qui peut résulter des connexions indésirables aux serveurs .

Vous l’aurez compris c’est donc une faille généralisé qui semble avoir été découverte dans un peut toute les applications gerant des accès à des fichiers multimédia …

Bon ok c’est bien beau me direz vous, mais qu’est ce que cela change de faire cette mise à jour pour moi ? Et bien si vous êtes possesseurs d’un terminal jailbreaké, comme à chaque mise à jour vous allez perdre le bénéfice du jailbreak. Cependant il ne vous sera pas possible de jailbreaker à nouveaux. En effet Geohot , grand casseur de code Apple devant l’eternel, à déclarer ne pas se donner la peine de chercher une méthode pour contourner les nouvelles protections mis en place avec le patch de ses failles, car pour lui cette mise à jour n’apporte rien, et l’utilisateur serait bien stupide s’il l’installait. Vous êtes donc prévenus.

Cependant, si vous tournaient sous l’OS « légal », sans jailbreak, on ne saurait que vous recommander de procéder à cette mise à jour, d’autant quelle est gratuite pour toutes les versions d’iPhone et d’iPod Touch.

Via Geeksmack

Rédigé par clawfire le 7 février 2010 · Classé dans SOFTWARE 

Commentaires

4 Réponses to “Mise a jour critique pour iPhone et iPod Touch”

  1. uberVU - social comments le 8 février 2010 0:19

    Social comments and analytics for this post…

    This post was mentioned on Twitter by geeklifeblog: Mise a jour critique pour iPhone et iPod Touch http://goo.gl/fb/giJR...

  2. Tweets that mention MISE A JOUR CRITIQUE POUR IPHONE ET IPOD TOUCH -- Topsy.com le 8 février 2010 6:17

    [...] This post was mentioned on Twitter by Philippe Martin, Outhman BADISSI, clawfire, Michellagace, Geek Life Blog and others. Geek Life Blog said: RT @clawfire: RT @geeklifeblog MISE A JOUR CRITIQUE POUR IPHONE ET IPOD TOUCH http://bit.ly/cUxKCG [...]

  3. Dominique Seguier le 10 février 2010 13:07

    Je ne vous comprends pas très bien : Cette mise à jour semble poser de sérieux problèmes et vous concluez en la recommandant.
    Ce n’est pas un peu contradictoire ???

  4. clawfire le 10 février 2010 13:10

    Dominique : les bugs énoncés ici sont ceux que la mise a jour corrige, donc ceux qui sont actuellement présent dans la version 3.1.2 de l’iPhone OS.

    Pour l’incapacité de jalibreak, il semble toutefois que cela a été résolu.

Quelque chose à dire ?





Plus d'actus :

skype outside, vos messages sont des oeuvres d’art

skype outside, vos messages sont des oeuvres d’art

On vous avez parlé de cette opération un peu loufoque de marketing virale de la part de skype qui avais envoyé un « standardiste » en plein désert pour promouvoir ses tarifs super avantageux. Et bien cette fois on remets çà avec des artistes.
Skype Outside, tel est le nom de l’opération, vous propose de partir à la rencontre [...]

Vendeur en informatique : un métier de spécialiste !

Vendeur en informatique : un métier de spécialiste !

Vendeur en informatique est un métier de pointe on le savait. Là les clients de François l’embrouille le comprennent devant ce florilège de termes informatiques de pointe ! Pas de doute ce vendeur là maitrise son sujet !!! Entre la consultation du stock de pièce informatiques par CyberDimension via XTP, ceci couplé à un processeur [...]

Mise a jour critique pour iPhone et iPod Touch

Mise a jour critique pour iPhone et iPod Touch

Vous vous en êtes sans doute aperçu, mais une nouvelle mise à jour de l’iPhone OS est sortie. Numéroté 3.1.3, elle n’apporte aucune nouveauté, oui c’est décevant mais c’est comme cela. Par contre, le lot de failles patchées est assez impressionnant. On pourrais presque croire à une FAILLE GENERALISEE touchant la gestion des média (audio/image/video).
Concrètement, que patch cette [...]