La dernière mise à jour d’Apple pour iOS vient de sortir. La version 5.1.1 est beaucoup plus qu’un correctif cosmétique : elle corrige au moins trois failles de sécurité, qui devraient toutes être considérées comme graves.
Les informations sur la mise à jour peuvent être trouvées dans la base de connaissances d’Apple dans l’article DL1521.
Malheureusement, vous aurez du mal à savoir à partir de DL1521 si vous devez faire la mise à jour en urgence ou pas et la question de sécurité n’est pas évoquée.
L’en-tête de cette page vous propose une liste de cinq “améliorations et corrections de bugs”, dont aucune raison de sécurité n’est mentionnée.
Comme d’habitude, Apple relègue le contenu sécuritaire de la mise à jour la page suivante HT1222. Mais quand j’ai visité, les mises à jour de sécurité les plus récentes dans la liste, c’était encore des correctifs d’avril.
Néanmoins, la page que vous devez consulter pour iOS 5.1.1 existe ! C’est HT5278, et si vous avez un iDevice, je vous suggère fortement de le lire.
Travaillez-vous pour Apple ? Si oui, s’il vous plaît suggérez – à la plus haute autorité dans l’entreprise si vous osez envoyer un courriel directement – que votre employeur “tweaks” son système d’édition de mise à jour. Assurez-vous que HT1222 est mis à jour en même temps que toutes les mises à jour de produits liés à la sécurité, non quelques heures ou jours plus tard. Cela aura un résultat positif : les utilisateurs appliqueront les correctifs de sécurité dans les plus brefs délais.
iOS 5.1.1 répond à trois principaux problèmes de sécurité
* Usurpation d’identité dans la barre d’adresse. Le site X pourrait vous diriger vers site Y, mais faire croire que vous étiez parti sur le site Z.
Cela ressemble à un problème mineur, mais c’est bien sérieux. La barre d’adresse est censée être exacte à tout moment, parce que c’est le principal indicateur visuel du site sur lequel vous vous trouvez. En effet, le navigateur est censé s’assurer que le contenu non sécurisé – tel que JavaScript – à l’intérieur d’une page Web ne peut pas écrire dans ou sur l’interface utilisateur.
Le spoofing de barre d’adresse est très utile pour les escrocs, les phishers et des colporteurs de logiciels malveillants, car il leur permet de masquer les faux sites Web sur lequels ils vous emmènent.
* Cross-site scripting. Lorsque vous visitez des sites X, le code aspiré à partir du site Y pourrait s’exécuter comme s’il était hébergé sur le site X.
XSS (abréviation de cross-site scripting) est toujours un sujet de préoccupation. Les navigateurs Web sont censés faire respecter une politique de «même origine». Le contenu du site Y ne devrait pouvoir lire les cookies que sur le site Y, et les scripts du site Y ne devraient être capables que de se connecter vers le site Y pour échanger ou demander des données supplémentaires.
Si un script à partir du site Y pouvait visualiser les cookies pour site X, l’escroc qui a le contrôle du site Y peuvent être en mesure de récupérer les données d’authentification de session (fixé par site X lorsque vous vous connectez), et donc se faire passer pour vous en ligne.
* L’exécution de code à distance. Une page web malveillante peut faire planter votre navigateur afin de terminer l’exécution du programme secret incorporé dans la page.
Un code exécutable nécessitant des ressources CPU ne peut pas, normalement, opérer sans ouvrir une fenêtre de dialogue “Souhaitez-vous vraiment exécuter cette application”. Cela aide à vous protéger contre les logiciels malveillants de s’installer par erreur.
Chaque fois que les hackers s’emparent d’un code exploitable à distance (RCE – Remote Code Execution), c’est la fête ! Ils peuvent délicatement déposer des programmes malveillants sur votre ordinateur ou appareils mobiles sans le consentement de l’utilisateur. C’est toujours très mal perçu par les utilisateurs (Demandez à un des centaines de milliers de personnes dont les Macs ont été récemment infectés par le cheval de Troie Flashback !)
Conclusion : Je vous recommande de mettre à jour iOS 5.1.1 dès que possible.
Crédit : Traduction de Paul Ducklin, voir l’article d’origine.
Recevez ce type d’alerte en temps réel par email, inscrivez-vous à la newsletter immédiatement !
–
PS. Note aux jailbreakers. Oui, vous pouvez mettre à jour aussi, si vous avez un iDevice A4. (Ce qui exclue les appareils récents comme iPhone 4S, iPad 2 et le nouveau iPad).
Qu’en pensez-vous ? Laissez un commentaire.