iOS 9.3.3 bouche une grosse faille de sécurité
iOS 9.3.3 est une mise à jour de maintenance qui a son intérêt et qu’il vaut mieux appliquer si on souhaite s’éviter des problèmes de sécurité. La liste des correctifs donne le tournis (Apple les recense à cette adresse), mais il y en a un en particulier qui importe. Tyler Bohan, chercheur en sécurité chez Cisco Talos, a trouvé dans ImageIO une faille « extrêmement critique » comparable à Stagefright, qui a défrayé la chronique sur Android l’an dernier (lire : Stagefright, bête noire de la sécurité d'Android).
Un malandrin pouvait exploiter cette faille en envoyant un MMS ou pire encore, simplement en visitant un site web avec Safari. Une fois le document ouvert par la victime, le malware faisait son œuvre en toute discrétion, notamment la récupération de mots de passe Wi-Fi, les identifiants de sites web et d’e-mails… En revanche, le sandboxing d’iOS empêche le brigand d’aller plus loin, à moins d’opérer un jailbreak à distance de l’appareil.
Cette vulnérabilité était aussi présente dans OS X, watchOS et tvOS : les dernières mises à jour de ces systèmes bouchent la faille. Cette mise à jour comprend aussi un correctif qui évite à un forban présent sur le même réseau d’écouter en douce les conversations FaceTime. En tout et pour tout, iOS 9.3.3 apporte 43 correctifs. Enfin, et s’il ne vous fallait qu’une bonne raison pour appliquer cette mise à jour, les appareils sous iOS 9.3.3 semblent un peu plus réactifs (lire : Comparatifs de vitesse entre iOS 9.3.2, 9.3.3 et iOS 10)…
"notamment la récupération de mots de passe Wi-Fi, les identifiants de sites web et d’e-mails…"
C'est à dire ? Comment un malware peut aller chercher ces infos vu que sous iOS les applications fonctionnent par "silo" ?
@Yoskiz :
Si tu utilise safari et l'app mail de base cela fait partie des app système
Ça ne serait pas la première faille qui permet d'augmenter ses privilèges. Dans ce cas là, le bac à sable peut déborder allègrement.
C'est ça, le concept de "faille" : on t'a dit que le système était infaillible, mais finalement il a failli :)
Ba alors apple je croillais que y avaient pas de faille de sécurité hahaha dite bonjour au virus hihihi
@Gaillard :
...Ha ha ha!
@Gaillard: Ho ho ho !
Bon sinon le Jailbreak 9.3.1 / 9.3.2 c'est pour quand ?
@Gaillard :
Ben mon gaillard, ça ne s'arrange pas :(
@Gaillard :
Mais que tu es laid!
Alors aux gogols, alerte aux gogols les enfants !
@Gaillard : mon gars, va falloir ouvrir un dictionnaire...
@vrts :
Il s'est deja amelioré c'est maintenant lisible
Des failles énorme ça me fait rire ça veux dire qu'apple ne fait pas bien son boulot
@vrts et un Bescherelle tant qu'il y est :)
@Gaillard :
Du verbe "croiller"?
Bonjour virus!
Est ce que cette faille était présente sur iOS 8 ?
Et iOS 7 ?
Bugemons, attraper les tous !
Perso depuis 9.3.3 mon micro fonctionne par intermittence lorsque j'émets un appel
Celui de ma copine idem
J'espère qu'Apple l a bien payé !
Car s'il avait donné la faillé à une équipe de jailbreak qui aurait touché dans les 1.000.000$....
et la faille serait publique et comblée quelques heures après la sortie d'un jailbreak
@CNNN
Oui, bien sûr. Et largement testée avec cela.
"Une fois le document ouvert par la victime"
Dans le cas de l'utilisation d'une page web, ya rien à ouvrir. Ca s'execute sans que l'utilisateur s'en aperçoit et s'en avoir à faire la moindre action.
@Matgamer
Oui et il y a de quoi se moquer, Chez Android la faille a mît 3-4 mois à être bouché, et faisait beaucoup plus de dégâts (Trojans et contrôle COMPLET du téléphone).
Chez Apple corrigé avant d'être annoncé (seul le découvreur la connaissait) et s'arrête aux identifiants de site web et du mail.
@Thegoldfinger :
Quel est le lien entre des "Trojans" et Stagefright ?
La faille Stagefright n'a jamais été utilisée non plus, elle était très compliquée à exploiter sur les appareils équipés d'Android 4.0 et plus. Et Google a bouché la faille dans AOSP avant qu'elle ne soit rendue publique.
@sachouba
Encore des erreurs dans tes propos... -__-
@sachouba :
Faux faux et de-faux, la faille a pris plus d'un an avant d'être complètement bouché ! Et elle fut utiliser par plusieurs malwares
@Mrleblanc101 :
La faille de Stagefright a été annoncée publiquement le 27 juillet 2015.
"the patches were already publicly available since early May 2015 in the AOSP and other open-source repositories" – Wikipedia
Donc la faille était bouchée dans AOSP avant d'être publique. Elle a mis plus de temps a être patchée sur les terminaux non-Nexus, mais je n'ai jamais affirmé le contraire.
"Depuis Android 4.0, la fonction de protection Address Space Layout Randomization (ASLR) rend difficile à exploiter cette vulnérabilité, mais pas impossible." – Wikipédia
Tout est dans la citation.
Quels sont les "plusieurs malwares" qui exploitent une faille de Stagefright ?
@eric691
+1 n'en déplaise aux trolls plus haut.
Je constate que les remarques au premier degré et les fôtes d'horsteaugraffe se portent à merveille!
Enfin… tant que l'on peut encore rire de quelque chose, il y a encore de l'espoir!
Quand on voit qu Apple diffuse des mises à jour de securité pour Mac OSX
Il serait Bon qu elle fasse de même pour les anciens iOS.