iOS : Sortie de la version 11 corrigeant 15 vulnérabilités concernant 8 applications

Une nouvelle version (11) d’iOS est sortie le 19 septembre 2017 qui corrige les vulnérabilités suivantes :

  • Une vulnérabilité a été découverte dans Exchange ActiveSync permettant à un attaquant situé sur le même segment réseau de supprimer l’intégralité des données d’un appareil lors de la phase de configuration du compte.
  • Une vulnérabilité a été découverte dans iBooks permettant de générer un déni de service lors de l’ouverture d’un iBooks malveillant.
  • Une vulnérabilité dans Mail MessageUI a été découverte permettant de générer un déni de service lors du traitement d’une image malformée.
  • Une vulnérabilité dans Messages a été découverte permettant de générer un déni de service lors du traitement d’une image malformée.
  • Une vulnérabilité dans MobileBackup a été découverte permettant à un attaquant de forcer des sauvegardes non chiffrées permettant de récupérer des données en clair.
  • Une vulnérabilité dans Safari a été découverte permettant à un attaquant de manipuler la barre d’adresses du navigateur d’un client au travers d’un site malveillant.
  • Deux vulnérabilités dans WebKit ont été découvertes permettant à un attaquant de générer une attaque par Cross-Site Scripting lors de l’envoi de contenu web malveillant ou de manipuler la barre d’adresses du client.
  • Sept vulnérabilités concernant le WI-FI ont été découvertes permettant à un attaquant d’accéder à des zones mémoires privilégiées et d’exécuter du code de manière arbitraire sur le processeur du téléphone avec des privilèges système.
Informations
+

Impact

  • Suppression de données à distance
  • Déni de service
  • Accès à des données non chiffrées
  • Cross-Site Scripting
  • Usurpation d’URL
  • Exécution de code arbitraire à distance

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de cette vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Iphone 5s et ultérieur
  • iPad Air et ultérieur
  • iPod Touch, 6e génération

CVE

  • CVE-2017-7072
  • CVE-2017-7085
  • CVE-2017-7088
  • CVE-2017-7089
  • CVE-2017-7097
  • CVE-2017-7103
  • CVE-2017-7105
  • CVE-2017-7106
  • CVE-2017-7108
  • CVE-2017-7110
  • CVE-2017-7112
  • CVE-2017-7115
  • CVE-2017-7116
  • CVE-2017-7118
  • CVE-2017-7133

Recommandations
+

Correctifs

Il est recommandé d’appliquer le correctif mis à disposition par l’éditeur et directement accessible depuis le mobile.

Solution de contournement

Il n’existe pas de solutions de contournement pour ces vulnérabilités.