Risque
- Atteinte à l'intégrité des données ;
- atteinte à la confidentialité des données.
Systèmes affectés
- Apple iOS versions 4.2.5 à 4.2.9 pour iPhone 4 modèle CDMA ;
- Apple iOS versions 3.0 à 4.3.4 pour iPhone 3GS et iPhone 4 modèle GSM ;
- Apple iOS versions 3.1 à 4.3.4 pour iPod touch de 3ème génération et postérieures ;
- Apple iOS versions 3.2 à 4.3.4 pour iPad.
Résumé
Une vulnérabilité dans Apple iOS a été corrigée et permet à une personne malintentionnée de porter atteinte à l'intégrité et à la confidentialité des données envoyées sur le réseau lors d'une session SSL/TLS.
Description
Une vulnérabilité dans Apple iOS liée à la validation de la chaîne des certificats X.509 a été corrigée. Elle permet à un utilisateur malintentionné d'utiliser un certificat X.509 spécialement conçu afin d'intercepter le traffic réseau lors d'une session SSL/TLS (attaque de type «man in the middle»).
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apple HT4824 du 25 juillet 2011 :
http://support.apple.com/kb/HT4824
- Bulletin de sécurité Apple HT4825 du 25 juillet 2011 :
http://support.apple.com/kb/HT4825
- Référence CVE CVE-2011-0228 :
https://www.cve.org/CVERecord?id=CVE-2011-0228