Apple corrige la faille critique utilisée par JailbreakMe

12 08 2010


Il y a deux semaines, le site Internet JailbreakMe.com apparaissait, et permettait à tous les possesseurs d’un iPhone ou iPod Touch utilisant iOS 4.0 ou 4.0.1 de « libérer » leur appareil de la mainmise d’Apple d’un simple click. Les iPad pouvaient aussi être « déplombés ». La prouesse était légale depuis moins d’une semaine, puisqu’une exception au DMCA (Digital Millenium Copyright Act) vient d’être accordée aux utilisateurs par la Bibliothèque du Congrès et le Bureau des brevets, pour favoriser l’interopérabilité.
Le problème pour Apple est que cette solution si simple repose sur deux failles critiques d’iOS : un problème dans la gestion des polices des .pdf par FreeType qui permettait d’injecter du code arbitraire dans l’appareil, et une autre faille d’iOSurface qui permettait à ce code d’obtenir des privilèges système.
En plus de favoriser l’exode de ses clients loin du pré carré où Cupertino veut les enfermer, ces failles pourraient permettre des attaques dévastatrices contre les iPhone. Un patch a du coup été élaboré en urgence. Il était prêt la semaine dernière, et est maintenant disponible au téléchargement.
Les propriétaires d’iPhone et d’iPod Touch qui n’ont pas l’intention de « déplomber » leur appareil peuvent faire la mise à jour depuis la dernière version d’iTunes (9.2.1), et passer à iOS 4.0.2. Les autres vont devoir attendre que cette version de l’OS soit à son tour jailbreakée pour faire la mise à jour. Les iPad ont aussi droit à une mise à jour de sécurité, passant du coup à iOS 3.2.2.

Publicités

Actions

Information

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s




%d blogueurs aiment cette page :