Sécurité

 

IPhone multiples vulnérabilités.

Publié le 29-09-2007 dans le thème Téléphonie

Pays : International - Auteur : Eric Romang


Pub : Participez à des batailles navales sanglantes et gagnez 10000 € sur Bigpoint.fr


Note des lecteurs: 2.3/5

Attaque du type cross-site scripting (XSS), révélation d'informations sensibles, contournement de règles de sécurité, attaque du type déni de service (DOS) et compromission de système vulnérable par le biais d'Apple IPhone.

Des vulnérabilités, classifiées comme "moyennement critiques", ont été rapportées pour Apple IPhone qui peuvent permettre à un internaute malveillant d'effectuer des attaques du type cross-site scripting (XSS), révéler des informations sensibles, contourner des règles de sécurité, causer un déni de service (DoS), ou compromettre un système vulnérable.

Une erreur de validation d'entrée lors du traitement de paquets SDP (Service Discovery Protocol) est présente dans le serveur IPhone Bluetooth. Cette erreur peut être exploitée, par un utilisateur Bluetooth à porté du signal Bluetooth de l'IPhone cible, pour rendre indisponible l'application ou encore permettre l'exécution de code arbitraire, en envoyant des paquets SDP malveillants. L'exploitation requiert que le Bluetooth soit actif sur l'IPhone.

Lorsque l'Iphone est configuré pour récupérer ou envoyer des email avec le protocole SSL, l'utilisateur n'est pas avertis d'un changement d'identité du serveur mail. Cette erreur peut être exploitée pour récupérer les identifiants email de l'utilisateur cible. L'exploitation requiert une attaque du type MitM (Man in the Middle).

Il est possible de forcer l'IPhone a appeler un numéro de téléphone sans que l'utilisateur de celui-ci ne soit avertis, ou ne donne sa confirmation.
Il suffit d'inciter un utilisateur à cliquer sur lien, reçu par email, contenant un URI "tel:".

Une erreur dans le traitement de l'URI "tel:" par Safari peut être exploitée pour forcé l'appel téléphonique vers un numéro de téléphone différent de celui qui est affiché dans la demande de confirmation d'appel.

Désactiver le javascript dans Safari ne prend effet qu'après redémarrage de celui-ci.

Une erreur dans Safari pourrait permettre à un site web malveillant de contourner des règles de sécurité. Cette erreur peut permettre d'exécuter du Javascript dans le contexte de navigation d'un autre site internet, lorsque l'utilisateur cible visite un site malveillant.

Apple fournit la mise à jour 1.1.1 pour corriger ces vulnérabilités.

 

# En relation avec ce contenu

iPhone, le grand ménage

 

# Liens connexes

Alerte de sécurité Secunia (en anglais)

Alerte de sécurité Apple (en anglais)

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

News letter ZATAZ.COM

Inscrivez-vous gratuitement à la News-Letter de ZATAZ.COM et recevez, dans votre boite électronique, l'actualité diffusée dans nos colonnes.

Les secrets des membres de Youtube révélés

Le portail communautaire de diffusion de vidéo YouTube va devoir dévoiler les habitudes de ses visiteurs à la demande de la justice américaine.

Ca bouge chez HP: un espion viré

Un vice-président de la société informatique HP mis à la porte après avoir espionné et volé des données à un concurrent.

Piratage de magazine, une poule rentre dans la danse

Après la disparition du groupe SCaN, le petit monde de warez se dote d'un nouveau pirate de magazines du nom de MagChicken.

11 internautes français devant la justice pour piratage de site

Exclu - Loin d'être des génies de l'informatique, onze défaceurs de sites Internet se ont retrouvés devant la justice pour s'être amusé à pirater le GIGI, HEC ou encore Hippopotamus.

Downrevolution fermé

Un nouveau portail dédié aux téléchargements de logiciels, musiques et films piratés fermé par la police.

Les spams en mutation au premier semestre 2008

L’étude menée par les laboratoires Antispam BitDefender révèle une évolution des supports et des contenus utilisés par les spams.

Des cyber-criminels prennent pour cible Google

Des cyber-criminels ont détourné les comptes AdWords de Google pour référencer leurs programmes malveillants.

Sur le même thème : Téléphonie

iPhone 3G protégé des pirates

Clavister protége les utilisateurs des nouveaux iPhone 3G d’Apple contre les hackers et les intrusions malveillantes.

Bon plan iPhone

Orange va proposer le nouvel iphone à 99 euros au premier propriétaire de la bête d'Apple.

Movies2iPhone 0.72

Nouvelle version de Movies2iPhone, le convertisseur de vidéos pour le téléphone portable d'Apple. Un outil facile et gratuit !

L'iPhone V.2 arrive et il va faire rager les proprios de la V.1

L'iPhone II, version 3G, dévoilé par Apple. Plus beau, plus puissant et surtout moins cher !

iPhone 2 en photo ?

Le nouveau téléphone portable d'Apple, l'iPhone arrive. Des nouveautés, dont la couleur, un objectif en facade, ...

Symacom Mobile

Orange lance Symacom Mobile, le premier opérateur... ethnique !

Espionnage: Deutsche Telekom a de grandes oreilles

Le géant allemand des télécommunications Deutsche Telekom avoue avoir espionné des collaborateurs.

Un conte téléphonique tourne au hardcore

La bibliothèque publique de Benicia propose des contes pour enfant via une ligne téléphonique. Seulement, le héros de l'histoire ressemblait plutôt à Rocco Siffredi.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Rechercher dans les Alertes

Mots clés
  sur ZATAZ sur le web

Derniers communiqués de presse

Les spams en mutation au premier semestre 2008

L’étude menée par les laboratoires Antispam BitDefender révèle une évolution des supports et des contenus utilisés par les spams.

Des cyber-criminels prennent pour cible Google

Des cyber-criminels ont détourné les comptes AdWords de Google pour référencer leurs programmes malveillants.

L'Union des fabricants heureux de la punition à l'encontre eBay

L’Unifab se félicite du jugement rendu par le tribunal de commerce de Paris sur la responsabilité des plateformes d’ecommerce en cas de ventes de contrefaçons.

Vol et fraude financière électronique

L’enquête Unisys Security Index révèle que le vol d’identité et la fraude financière restent en tête des préoccupations des consommateurs. Les pays asiatiques et le Brésil affichent les plus fortes craintes en matière de sécurité ; celles-ci sont modérées

Stars-buzz.com

Céline Dion cherche des copines

  Sarah Jessica Parker, l’héroïne de Sex And The City, s’est retrouvée dans le même luxueux palace parisien que Céline Dion. La chanteuse a voulu rencontre l’actrice. “Après de longues (très longues) heures de discussion, explique adobuzz, notamment sur l’adaptation cinématographique de Sex And The City, Céline Dion est repartie convaincue d’avoir gagné l’amitié de Sarah [...]

Aurélie Mauresmo n?ira pas en Chine

Amélie Mauresmo, la tennis woman française, n’ira pas aux Jeux Olympiques de Pékin. La médaillée d’argent d’Athènes 2004, qui s’était inclinée en finale contre la Belge Justine Hénin, a déclaré forfait. Elle s’explique en indiquant : “N’ayant pas été retenue en simple par la Fédération pour ramener une médaille à la France et dans l’optique [...]

Raymond Domenech reste en bleu

Raymond Domenech a comparu ce jeudi devant les 21 membres du conseil fédéral de la Fédération Française de Football. Les “autorités” du football Français ont décidé de le garder. Il faut dire aussi que son contrat se termine en 2010.

Paris Hilton sort un nouvel album

Personne ne veut lui donner un travail, un truc pour qu’elle s’occupe les mains et le cerveau ? Paris Hilton ne sait pas quoi faire de son argent et du coup, se lance une fois de plus dans la chanson. Après le bide son premier album, elle a décidé de remettre le couvert. Il faut [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA