L’un des développements les plus intéressants de la semaine dernière a été le lancement de jailbreakme.com, un site Web qui permet aux clients d’Apple de jailbreaker leurs appareils simplement en visitant le site avec leur iPhone, iPad ou iTouch. Les chercheurs ont rapidement appris que la page utilisait deux vulnérabilités de sécurité jusque-là inconnues dans la fonctionnalité de lecteur PDF intégrée à l’iOS4 d’Apple.
Adobe n’a pas tardé à publier une déclaration disant que les failles étaient dans le logiciel d’Apple et n’existaient pas dans ses produits. Fait intéressant, cependant, cette même attaque Est-ce que semblent affecter Lecteur Foxitun lecteur PDF gratuit que je recommande souvent comme alternative à Adobe.
Selon un avis Foxit a publié la semaine dernière, Foxit Reader version 4.1.1.0805 « corrige le problème de plantage causé par le nouveau programme de jailbreak iPhone/iPad qui peut être exploité pour injecter du code arbitraire dans un système et l’y exécuter. » Si vous utilisez Foxit, vous récupérez la mise à jour depuis l’application (« Aide », puis « Vérifier les mises à jour maintenant ») ou depuis ce lien.
De toute évidence, du point de vue de la sécurité, l’aspect intrigant d’un jailbreak de type drive-by est qu’une telle attaque pourrait facilement être utilisée à des fins plus néfastes, telles que l’ensemencement de votre iPhone avec des logiciels indésirables. Pour être clair, personne n’a encore vu d’attaques comme celle-ci, mais c’est certainement un domaine à surveiller de près. F-Secure a un sympa les questions/réponses sur la paire de failles du lecteur PDF qui permettent cette attaque, et ce qu’elles pourraient signifier à l’avenir. Apple dit qu’il prévoit de publier une mise à jour pour supprimer les bugs.
Je me demande comment appeler ces types de vulnérabilités qui donnent bien évidemment aux utilisateurs la liberté que permet le jailbreak de leur(s) appareil(s) (la possibilité d’exécuter des applications qui ne sont pas approuvées et approuvées par Apple) mais qui attirent nécessairement l’attention des attaquants à des vulnérabilités très puissantes qui peuvent être utilisées pour cibler les jailbreakers et les utilisateurs réguliers. Ce n’est pas tout à fait une « fonctionnalité », qui décrit un composant logiciel intentionnel qui ouvre les clients à l’attaque même si le fournisseur insiste sur le fait que la fonctionnalité est une capacité utile, par conception, plutôt qu’un handicap.
J’ai trouvé quelques idées.
– « Apptack »
– « Jailbait » (je sais, je sais, mais c’est accrocheur)
– « Liberté »
Peut-être que les lecteurs de BreachTrace peuvent trouver un meilleur terme ? Sonnez dans les commentaires ci-dessous si vous en trouvez de bons.
Enfin, je dois noter que même si les produits d’Adobe peuvent ne pas être affectés par les défauts mentionnés ci-dessus, la société mentionné la semaine dernière qu’il prévoit d’expédier une mise à jour d’urgence mardi pour corriger au moins une faille de sécurité critique présente dans la dernière version d’Adobe Reader pour les fenêtres, Mac et Linux systèmes.
Adobe a déclaré que la mise à jour corrigerait un défaut que le chercheur Charlie Miller révélé (PDF!) au mois dernier Chapeau noir conférence sur la sécurité à Las Vegas, mais il a laissé entendre que la mise à jour pourrait également inclure des correctifs pour d’autres défauts. J’en aurai plus sur ces mises à jour lorsqu’elles seront publiées, ce qui devrait coïncider avec l’un des plus grands mardis de correctifs Microsoft de tous les temps: Redmond a déclaré la semaine dernière qu’il prévoyait de publier au moins 14 mises à jour mardi. Mise à jour, 10 août, 17 h 06 HE :Adobe ne publiera pas la mise à jour de Reader avant la semaine du 16 août.