À propos des correctifs de sécurité d’iOS 8

Ce document décrit les correctifs de sécurité d’iOS 8.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

iOS 8

  • 802.1X

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un attaquant peut être en mesure d’obtenir des identifiants de connexion Wi-Fi

    Description : un attaquant pouvait créer un point d’accès Wi-Fi factice, auquel il était possible de s’authentifier à l’aide du protocole LEAP. Il pouvait également compromettre le hachage MS-CHAPv1 et utiliser les identifiants ainsi obtenus pour permettre une authentification au niveau du point d’accès concerné, même si ce dernier prenait en charge des méthodes d’authentification plus sécurisées. Ce problème a été résolu par la désactivation par défaut du protocole LEAP.

    Référence CVE

    CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax et Wim Lamotte de l’université d’Hasselt

  • Accounts

    Disponibles pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une app malveillante peut être en mesure d’identifier l’identifiant Apple de l’utilisateur

    Description : un problème a été détecté au niveau de la logique de contrôle d’accès des comptes. Une application sandboxée pouvait obtenir des informations se rapportant au compte iCloud actuellement actif, y compris le nom associé. Ce problème a été résolu par la restriction de l’accès à certains types de compte à partir d’applications non autorisées.

    Référence CVE

    CVE-2014-4423 : Adam Weaver

  • Accessibility

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : l’écran de l’appareil peut ne pas se verrouiller lors de l’utilisation d’AssistiveTouch

    Description : un problème de logique a été détecté au niveau de la gestion des événements d’AssistiveTouch, ce qui empêchait le verrouillage de l’écran. Ce problème a été résolu par une meilleure gestion du minuteur de verrouillage.

    Référence CVE

    CVE-2014-4368 : Hendrik Bettermann

  • Accounts Framework

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un attaquant ayant accès à un appareil iOS peut accéder à des informations confidentielles de l’utilisateur à partir d’historiques

    Description : des informations confidentielles de l’utilisateur étaient enregistrées dans les historiques. Ce problème a été résolu par l’enregistrement d’une quantité réduite d’informations dans les historiques.

    Référence CVE

    CVE-2014-4357 : Heli Myllykoski du groupe OP-Pohjola

  • Address Book

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une personne ayant un accès physique à un appareil iOS peut lire le contenu du carnet d’adresses

    Description : le carnet d’adresses était chiffré à l’aide d’une clé protégée uniquement par l’UID matériel. Ce problème a été résolu par le chiffrement du carnet d’adresses à l’aide d’une clé protégée par l’UID matériel et par le code d’accès de l’utilisateur.

    Référence CVE

    CVE-2014-4352 : Jonathan Zdziarski

  • App Installation

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un attaquant local peut être en mesure d’augmenter ses privilèges et d’installer des apps non vérifiées.

    Description : un problème de concurrence a été détecté lors de l’installation d’apps. Un attaquant en mesure d’écrire des données dans le fichier /tmp pouvait installer une app non vérifiée. Ce problème a été résolu par le placement des fichiers d’installation dans un autre répertoire.

    Référence CVE

    CVE-2014-4386 : evad3rs

  • App Installation

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un attaquant local peut être en mesure d’augmenter ses privilèges et d’installer des apps non vérifiées.

    Description : un problème de parcours de chemin d’accès a été détecté lors de l’installation d’apps. Un attaquant local pouvait faire usage du processus de validation d’une signature de code avec un paquet autre que celui en cours d’installation. Ceci pouvait alors entraîner l’installation d’une app non vérifiée. Ce problème a été résolu par la détection de traversées de chemin (et par leur annulation) lors de l’identification des signatures de code à vérifier.

    Référence CVE

    CVE-2014-4384 : evad3rs

  • Assets

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut faire en sorte qu’un appareil iOS soit considéré comme étant à jour alors que ce n’est pas le cas.

    Description : un problème de validation se produisait lors des vérifications de mise à jour. Des dates erronées et futures, dans les en-têtes de réponse « Last-Modified », étaient utilisées lors des vérifications de type « If-Modified-Since » dans les demandes de mise à jour suivantes. Ce problème a été résolu par la validation de l’en-tête « Last-Modified ».

    Référence CVE

    CVE-2014-4383 : Raul Siles de DinoSec

  • Bluetooth

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : le Bluetooth est activé par défaut de façon inattendue après la mise à niveau d’iOS

    Description : le Bluetooth était automatiquement activé après la mise à niveau d’iOS. Ce problème a été résolu par l’activation du Bluetooth uniquement en cas de mises à jour majeures ou mineures.

    Référence CVE

    CVE-2014-4354 : Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : mise à jour de la politique de fiabilité des certificats

    Description : la politique de fiabilité des certificats a été mise à jour. La liste complète des certificats peut être consultée à l’adresse https://support.apple.com/HT204132.

  • CoreGraphics

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’application ou une exécution de code arbitraire.

    Description : un dépassement d’entier a été détecté dans le traitement des fichiers PDF. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4377 : Felipe Andres Manzano de Binamuse VRT en collaboration avec le programme iSIGHT Partners GVP

  • CoreGraphics

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : l’ouverture d’un fichier PDF malveillant peut entraîner la fermeture inopinée de l’app ou la divulgation d’informations

    Description : un problème de lecture mémoire hors limites a été détecté lors de la gestion des fichiers PDF. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4378 : Felipe Andres Manzano de Binamuse VRT en collaboration avec le programme iSIGHT Partners GVP

  • Data Detectors

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : le fait de toucher un lien FaceTime dans Mail lance un appel FaceTime audio sans demander la confirmation de l’utilisateur

    Description : l’app Mail lançait des appels FaceTime audio sans demander la confirmation de l’utilisateur. Ce problème a été résolu par l’affichage d’un message de confirmation supplémentaire.

    Référence CVE

    CVE-2013-6835 : Guillaume Ross

  • Foundation

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une app utilisant NSXMLParser peut être utilisée pour divulguer des informations à mauvais escient

    Description : un problème lié à une entité XML externe a été détecté lors de la gestion des fichiers XML par NSXMLParser. Ce problème a été résolu par le non-chargement des entités externes au niveau des origines.

    Référence CVE

    CVE-2014-4374 : George Gal de VSR (http://www.vsecurity.com/)

  • Home & Lock Screen

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une app en arrière-plan peut déterminer quelle autre app se trouve au premier plan

    Description : l’API privée permettant d’identifier l’app s’exécutant au premier plan ne disposait pas d’un contrôle d’accès suffisant. Ce problème a été résolu par un niveau de contrôle d’accès supplémentaire.

    Rérérence CVE

    CVE-2014-4361 : Andreas Kurtz de NESO Security Labs et Markus Troßbach de l’université d’Heilbronn

  • iMessage

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : les pièces jointes sont conservées lorsque l’iMessage ou le MMS associé est supprimé

    Description : un problème de concurrence a été détecté dans la façon dont les pièces jointes ont été supprimées. Ce problème a été résolu par la réalisation de vérifications supplémentaires visant à déterminer si les pièces jointes concernées ont bien été supprimées.

    Référence CVE

    CVE-2014-4353 : Silviu Schiau

  • IOAcceleratorFamily

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieursConséquence : une app peut provoquer l’arrêt inopiné du systèmeDescription : un problème de déréférencement de pointeurs null a été détecté lors de la gestion d’arguments de l’API IOAcceleratorFamily. Ce problème a été résolu par une meilleure validation des arguments de l’API IOAcceleratorFamily.Référence CVECVE-2014-4369 : Sarah (alias « winocm ») et Cererdlong de l’Alibaba Mobile Security Team

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : l’appareil peut redémarrer de manière inopinée

    Description : un problème de déréférencement de pointeurs NULL a été détecté au niveau du pilote IntelAccelerator. Ce problème a été résolu par une meilleure gestion des erreurs.

    Référence CVE

    CVE-2014-4373 : cunzhang de l’Adlab de Venustech

  • IOHIDFamily

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une app malveillante peut être en mesure de lire les pointeurs du noyau, lesquels peuvent être utilisés pour contourner la randomisation de la disposition de l’espace d’adressage du noyau

    Description : un problème de lecture hors limites a été détecté lors de la gestion d’une fonction IOHIDFamily. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4379 : Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une app malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : un problème de dépassement de mémoire tampon a été détecté dans la gestion des propriétés de mappage par clé par IOHIDFamily. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4404 : Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une app malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système

    Description : un déréférencement de pointeurs null a été détecté dans la gestion des propriétés de mappage par clé par IOHIDFamily. Ce problème a été résolu par une meilleure validation des propriétés IOHIDFamily de mappage par clé.

    Référence CVE

    CVE-2014-4405 : Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une app malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau

    Description : un problème d’écriture hors limites a été détecté dans l’extension de noyau IOHIDFamily. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4380 : cunzhang de l’Adlab de Venustech

  • IOKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une app malveillante peut être en mesure de lire des données non initialisées à partir de la mémoire du noyau

    Description : un problème d’accès à la mémoire non initialisée a été détecté lors de la gestion des fonctions IOKit. Ce problème a été résolu par une amélioration de l’initialisation de la mémoire

    Référence CVE

    CVE-2014-4407 : @PanguTeam

  • IOKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une app malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système

    Description : un problème de validation affectait le traitement de certains champs de métadonnées, associés à des objets IODataQueue. Il a été résolu par une meilleure validation des métadonnées.

    Référence CVE

    CVE-2014-4418 : Ian Beer de Google Project Zero

  • IOKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une app malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système

    Description : un problème de validation affectait le traitement de certains champs de métadonnées, associés à des objets IODataQueue. Il a été résolu par une meilleure validation des métadonnées.

    Référence CVE

    CVE-2014-4388 : @PanguTeam

  • IOKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une app malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système

    Description : un dépassement d’entier a été détecté dans le traitement des fonctions IOKit. Il a été résolu par une meilleure validation des arguments de l’API IOKit.

    Référence CVE

    CVE-2014-4389 : Ian Beer de Google Project Zero

  • Kernel

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau

    Description : plusieurs problèmes de mémoire non initialisée ont été détectés dans l’interface de statistiques réseau, ce qui a conduit à la divulgation du contenu de la mémoire du noyau. Ce problème a été résolu par une initialisation supplémentaire de la mémoire.

    Références CVE

    CVE-2014-4371 : Fermin J. Serna de l’équipe de sécurité de Google

    CVE-2014-4419 : Fermin J. Serna de l’équipe de sécurité de Google

    CVE-2014-4420 : Fermin J. Serna de l’équipe de sécurité de Google

    CVE-2014-4421 : Fermin J. Serna de l’équipe de sécurité de Google

  • Kernel

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une personne bénéficiant d’une position privilégiée sur le réseau peut provoquer un déni de service

    Description : un problème de concurrence a été détecté lors de la gestion des paquets Ipv6. Il a été résolu par une meilleure vérification de l’état Verrouillé.

    CVE-ID

    CVE-2011-2391 : Marc Heuse

  • Kernel

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un utilisateur local peut être en mesure de provoquer l’arrêt inopiné du système ou une exécution de code arbitraire dans le noyau

    Description : un problème double a été détecté lors de la gestion des ports Mach. Il a été résolu par une meilleure validation des ports Mach.

    Référence CVE

    CVE-2014-4375 : chercheur anonyme

  • Kernel

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un utilisateur local peut être en mesure de provoquer l’arrêt inopiné du système ou une exécution de code arbitraire dans le noyau

    Description : un problème de lecture hors limites existait au niveau de rt_setgate, pouvant entraîner la divulgation du contenu de la mémoire ou la corruption de cette dernière. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4408

  • Kernel

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : certaines mesures de renforcement du noyau peuvent être contournées

    Description : le générateur de nombre aléatoire utilisé lors de mesures de renforcement du noyau, au début du processus de démarrage n’était pas sécurisé de manière cryptographique. Certains des résultats obtenus étaient consultables depuis l’espace utilisateur, ce qui permettait de contourner les mesures de renforcement. Ce problème a été résolu par l’utilisation d’un algorithme sécurisé de manière cryptographique.

    Référence CVE

    CVE-2014-4422 : Tarjei Mandt d’Azimuth Security

  • Libnotify

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une app malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges root

    Description : un problème d’écriture hors limites a été détecté dans Libnotify. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2014-4381 : Ian Beer de Google Project Zero

  • Lockdown

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : des modifications peuvent être apportées à un appareil afin que l’écran d’accueil s’affiche alors que la fonctionnalité Verrouillage d’activation est activée

    Description : un problème de fonctionnement du système de verrouillage a entraîné l’affichage de l’écran d’accueil alors que la fonctionnalité Verrouillage d’activation était activée. Ce problème a été résolu par la modification des informations vérifiées par un appareil lors d’une demande de déverrouillage.

    Référence CVE

    CVE-2014-1360

  • Mail

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : les identifiants de connexion peuvent être au format texte, même si le serveur est associé à l’option LOGINDISABLED IMAP

    Description : Mail a envoyé la commande LOGIN aux serveurs, même en présence de l’option IMAP LOGINDISABLED. Ce problème se produit généralement lors de la connexion à des serveurs configurés de sorte à accepter des connexions non chiffrées, et affichant l’option LOGINDISABLED. Il a été résolu par la prise en compte de l’option IMAP LOGINDISABLED.

    Référence CVE

    CVE-2014-4366 : Mark Crispin

  • Mail

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : une personne ayant un accès physique à un appareil iOS peut potentiellement lire le contenu des pièces jointes

    Description : un problème de logique a été détecté lors de l’utilisation par Mail de la fonctionnalité de protection des données avec les pièces jointes. Il a été résolu par l’attribution correcte de la fonctionnalité Protection des données aux pièces jointes.

    Référence CVE

    CVE-2014-1348 : Andreas Kurtz de NESO Security Labs

  • Profiles

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : la fonctionnalité Composition vocale est activée de manière inopinée après la mise à niveau d’iOS

    Description : la fonctionnalité Composition vocale a été activée automatiquement après la mise à niveau d’iOS. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2014-4367 : Sven Heinemann

  • Safari

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : les identifiants d’un utilisateur peuvent être divulgués à un site non désiré via la fonctionnalité de remplissage automatique

    Description : dans Safari, des noms d’utilisateur et des mots de passe renseignés automatiquement pouvaient être ajoutés à un sous-cadre, provenant d’un domaine autre que celui du cadre principal. Ce problème a été résolu par un meilleur suivi de l’origine.

    Référence CVE

    CVE-2013-5227 : Niklas Malmgren de Klarna AB

  • Safari

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter les identifiants d’un utilisateur

    Description : les mots de passe enregistrés ont été renseignés automatiquement sur des sites HTTP ou des sites HTTPS non fiables et dans des iframes. Le problème a été résolu en limitant le renseignement automatique des mots de passe au cadre principal des sites HTTPS dotés de chaînes de certificat valides.

    Référence CVE

    CVE-2014-4363 : David Silver, Suman Jana et Dan Boneh de l’université de Stanford, en collaboration avec Eric Chen et Collin Jackson de l’université Carnegie Mellon

  • Safari

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut détourner des URL dans Safari

    Description : un problème d’incohérence d’interface utilisateur affectait Safari sur les appareils MDM. Il a été résolu par une meilleure vérification de l’interface utilisateur.

    Référence CVE

    CVE-2014-8841 : Angelo Prado de Salesforce Product Security

  • Sandbox Profiles

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : les informations d’identifiant Apple sont accessibles par des apps tierces

    Description : un problème de divulgation d’informations a été détecté dans le sandbox de l’app tierce. Il a été résolu par l’amélioration du profil de sandbox d’apps tierces.

    Rérérence CVE

    CVE-2014-4362 : Andreas Kurtz de NESO Security Labs et Markus Troßbach de l’université d’Heilbronn

  • Settings

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : l’aperçu d’un message texte peut s’afficher sur l’écran de verrouillage même lorsque cette fonctionnalité est désactivée

    Description : un problème affectait l’aperçu des messages texte sur l’écran de verrouillage. Ainsi, le contenu des messages s’affichait au niveau de l’écran de verrouillage, même lorsque la fonctionnalité d’aperçu était désactivée dans Réglages. Ce problème a été résolu par une meilleure prise en compte de ce réglage.

    Référence CVE

    CVE-2014-4356 : Mattia Schirinzi de San Pietro Vernotico (BR), Italie

  • syslog

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un utilisateur local peut modifier les autorisations de fichiers arbitraires

    Description : syslogd prenait en compte les liens symboliques lors de la modification des autorisations d’un fichier. Ce problème a été résolu par une meilleure gestion des liens symboliques.

    Référence CVE

    CVE-2014-4372 : Tielei Wang et YeongJin Jang du Georgia Tech Information Security Center (GTISC)

  • Weather

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : les informations de lieu ont été envoyées de manière non chiffrée

    Description : un problème de divulgation d’informations a été détecté dans une API utilisée pour indiquer la météo locale. Il a été résolu par la modification des API.

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un site Web malveillant est susceptible de traquer les utilisateurs même lorsqu’ils sont en mode de navigation privée

    Description : une application Web pouvait stocker des données de cache HTML 5 lors d’une navigation standard, puis les utiliser lors d’une navigation en mode privé. Le problème a été résolu par la désactivation de l’accès au cache de l’application lorsque le mode de navigation privée est activé.

    Référence CVE

    CVE-2014-4409 : Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : la consultation d’un site web malveillant peut entraîner la fermeture inopinée de l’application ou une exécution de code arbitraire.

    Description : WebKit présentait plusieurs problèmes de corruption de la mémoire. Ils ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2013-6663 : Atte Kettunen de OUSPG

    CVE-2014-1384 : Apple

    CVE-2014-1385 : Apple

    CVE-2014-1387 : équipe de sécurité Google Chrome

    CVE-2014-1388 : Apple

    CVE-2014-1389 : Apple

    CVE-2014-4410 : Eric Seidel de Google

    CVE-2014-4411 : équipe de sécurité Google Chrome

    CVE-2014-4412 : Apple

    CVE-2014-4413 : Apple

    CVE-2014-4414 :Apple

    CVE-2014-4415 : Apple

  • Wi-Fi

    Disponible pour : iPhone 4s et modèles ultérieurs, iPod touch (5e génération) et modèles ultérieurs, iPad 2 et modèles ultérieurs

    Conséquence : un appareil pouvait faire l’objet d’un suivi passif via son adresse MAC Wi-Fi

    Description : un problème de divulgation d’informations a été détecté, car une adresse MAC stable était utilisée pour rechercher des réseaux Wi-Fi. Ce problème a été résolu par la randomisation de l’adresse MAC pour les recherches passives de réseaux Wi-Fi.

Remarque :

Certaines fonctionnalités de diagnostic ont fait l’objet de modifications sous iOS 8. Pour en savoir plus, rendez-vous à l’adresse https://support.apple.com/HT203034

Sous iOS 8, il est désormais possible d’indiquer que tous les ordinateurs précédemment considérés comme des équipements de confiance ne le sont plus. Les instructions applicables sont disponibles à l’adresse https://support.apple.com/HT202778

FaceTime n’est pas disponible dans certains pays ou certaines régions.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: