Mise à jour du firmware iPhone et iPod Touch en version 1.1.3 pour combler des attaques du type cross-site scripting (XSS), un contournement de règles de sécurité et une exécution de code arbitraire.

Trois vulnérabilités, classifiées comme "hautement critiques", ont été rapportées pour Apple iPhone 1.x et iPod Touch 1.x, qui pourraient permettre à un internaute malveillant d’effectuer des attaques du type cross-site scripting (XSS), contourner des règles de sécurité et compromettre un système vulnérable.

Une erreur non spécifiée dans le traitement des URL existe dans le navigateur Internet Safari embarqué sur iPhone et iPod Touch. Cette erreur pourrait être exploitée pour causer une corruption de mémoire lorsqu’un internaute cible est incité à accéder à une URL forgée.

L’exploitation pourrait permettre l’exécution de code arbitraire.

Une erreur dans le traitement des numéros de téléphone d’urgence, pourrait être exploitée pour contourner l’identification de l’économiseur d’écran, et pourrait ainsi permettre à des utilisateurs malveillant, ayant accès physiquement à un iPhone de lancer des applications sans avoir besoin du mots de passe de l’économiseur d’écran.

La vulnérabilité a été rapportée pour les versions 1.0 à 1.1.2.

Une erreur dans le navigateur embarqué Safari pourrait être exploitée pour effectuer des attaques du type cross-site scripting (XSS).

Le fournisseur propose la mise à jour 1.1.3 pour corriger ces vulnérabilités.  

 
Alerte de sécurité Secunia (en anglais)
Publicités