Apple corrige la faille critique utilisée par JailbreakMe
Bientôt PutmebackinJail.com ?
Il y a deux semaines, le site Internet JailbreakMe.com apparaissait, et permettait à tous les possesseurs d'un iPhone ou iPod Touch utilisant iOS 4.0 ou 4.0.1 de "libérer" leur appareil de la mainmise d'Apple d'un simple click. Les iPad pouvaient aussi être "déplombés". La prouesse était légale depuis moins d'une semaine, puisqu'une exception au DMCA (Digital Millenium Copyright Act) vient d'être accordée aux utilisateurs par la Bibliothèque du Congrès et le Bureau des brevets, pour favoriser l'interopérabilité.
Le problème pour Apple est que cette solution si simple repose sur deux failles critiques d'iOS : un problème dans la gestion des polices des .pdf par FreeType qui permettait d'injecter du code arbitraire dans l'appareil, et une autre faille d'iOSurface qui permettait à ce code d'obtenir des privilèges système.
En plus de favoriser l'exode de ses clients loin du pré carré où Cupertino veut les enfermer, ces failles pourraient permettre des attaques dévastatrices contre les iPhone. Un patch a du coup été élaboré en urgence. Il était prêt la semaine dernière, et est maintenant disponible au téléchargement.
Les propriétaires d'iPhone et d'iPod Touch qui n'ont pas l'intention de « déplomber » leur appareil peuvent faire la mise à jour depuis la dernière version d'iTunes (9.2.1), et passer à iOS 4.0.2. Les autres vont devoir attendre que cette version de l'OS soit à son tour jailbreakée pour faire la mise à jour. Les iPad ont aussi droit à une mise à jour de sécurité, passant du coup à iOS 3.2.2.
Le problème pour Apple est que cette solution si simple repose sur deux failles critiques d'iOS : un problème dans la gestion des polices des .pdf par FreeType qui permettait d'injecter du code arbitraire dans l'appareil, et une autre faille d'iOSurface qui permettait à ce code d'obtenir des privilèges système.
En plus de favoriser l'exode de ses clients loin du pré carré où Cupertino veut les enfermer, ces failles pourraient permettre des attaques dévastatrices contre les iPhone. Un patch a du coup été élaboré en urgence. Il était prêt la semaine dernière, et est maintenant disponible au téléchargement.
Les propriétaires d'iPhone et d'iPod Touch qui n'ont pas l'intention de « déplomber » leur appareil peuvent faire la mise à jour depuis la dernière version d'iTunes (9.2.1), et passer à iOS 4.0.2. Les autres vont devoir attendre que cette version de l'OS soit à son tour jailbreakée pour faire la mise à jour. Les iPad ont aussi droit à une mise à jour de sécurité, passant du coup à iOS 3.2.2.
Jeff
le 12 août 2010 à 11:32
(24 230
lectures)
Actualités et brèves relatives
- 05 / 08 / 2010 : Failles de l’iPhone : colmatage imminent d'iOS, l'alerte du CERTA
- 04 / 08 / 2010 : iOS 4 : après le jailbreaking, le désimlockage avec ultrasn0w
- 04 / 08 / 2010 : Nouveau sport : le jailbreak d'iPhone... dans les Apple Store
- 02 / 08 / 2010 : JailBreakMe, pour déplomber son iPhone iOS 4 via le web
- 27 / 07 / 2010 : USA : le jailbreaking devient légal dans certaines conditions
- 25 / 05 / 2010 : Apple contre l'EFF : jailbreak et accords de licence
- 24 / 11 / 2009 : iPhone : un nouveau ver transite dans les modèles jailbreakés
- 30 / 07 / 2009 : Apple met en garde des risques si le jailbreak était légalisé
