Une nouvelle version (11) d’iOS est sortie le 19 septembre 2017 qui corrige les vulnérabilités suivantes :
- Une vulnérabilité a été découverte dans Exchange ActiveSync permettant à un attaquant situé sur le même segment réseau de supprimer l’intégralité des données d’un appareil lors de la phase de configuration du compte.
- Une vulnérabilité a été découverte dans iBooks permettant de générer un déni de service lors de l’ouverture d’un iBooks malveillant.
- Une vulnérabilité dans Mail MessageUI a été découverte permettant de générer un déni de service lors du traitement d’une image malformée.
- Une vulnérabilité dans Messages a été découverte permettant de générer un déni de service lors du traitement d’une image malformée.
- Une vulnérabilité dans MobileBackup a été découverte permettant à un attaquant de forcer des sauvegardes non chiffrées permettant de récupérer des données en clair.
- Une vulnérabilité dans Safari a été découverte permettant à un attaquant de manipuler la barre d’adresses du navigateur d’un client au travers d’un site malveillant.
- Deux vulnérabilités dans WebKit ont été découvertes permettant à un attaquant de générer une attaque par Cross-Site Scripting lors de l’envoi de contenu web malveillant ou de manipuler la barre d’adresses du client.
- Sept vulnérabilités concernant le WI-FI ont été découvertes permettant à un attaquant d’accéder à des zones mémoires privilégiées et d’exécuter du code de manière arbitraire sur le processeur du téléphone avec des privilèges système.
Informations
+
Impact
- Suppression de données à distance
- Déni de service
- Accès à des données non chiffrées
- Cross-Site Scripting
- Usurpation d’URL
- Exécution de code arbitraire à distance
Existence d’un code d’exploitation de la vulnérabilité
Non, aucun code permettant l’exploitation de cette vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Iphone 5s et ultérieur
- iPad Air et ultérieur
- iPod Touch, 6e génération
CVE
- CVE-2017-7072
- CVE-2017-7085
- CVE-2017-7088
- CVE-2017-7089
- CVE-2017-7097
- CVE-2017-7103
- CVE-2017-7105
- CVE-2017-7106
- CVE-2017-7108
- CVE-2017-7110
- CVE-2017-7112
- CVE-2017-7115
- CVE-2017-7116
- CVE-2017-7118
- CVE-2017-7133
Recommandations
+
Correctifs
Il est recommandé d’appliquer le correctif mis à disposition par l’éditeur et directement accessible depuis le mobile.
Solution de contournement
Il n’existe pas de solutions de contournement pour ces vulnérabilités.
Liens
+