« Pour la sécurité de ses utilisateurs, Apple ne dévoile, parle de ou confirme des problèmes de sécurité avant qu'une enquête complète ait été menée et que tout patch ou mise à jour nécessaire ait été rendu disponible » explique Apple au sujet de ses mises à jour de sécurité. Maintenant qu'iOS 4.2 est sortie, on en sait un peu plus sur les problèmes de sécurité et les failles qu'elle règle.
Le principal problème réglé est celui qui touche FreeType et par extension CoreGraphics et qui permettait d'exécuter du code à partir d'une police corrompue dans un PDF. C'était le système qui avait été mis en œuvre par certaines solutions de jailbreak comme JailbreakMe.
Plusieurs problèmes ont été réglés avec WebKit concernant le support du SVG, les barres de défilement, les WebSockets ou l'API de géolocalisation, et qui permettaient l'exécution de code arbitraire si un site tentait d'exploiter ces failles. Un problème a aussi été réglé dans Mail avec certains types de courriel qui appelaient des ressources externes : Mail pouvait parfois les charger alors même que l'utilisateur avait désactivé le téléchargement automatique des images. Plus qu'un simple problème de bande passante, il s'agit aussi d'un problème de vie privée : certaines formes de spam appellent depuis le corps du courriel un élément externe comme une image, et se servent du nombre de téléchargement de cette ressource pour mesurer l'efficacité de leur envoi.
Sans surprise, c'est WebKit qui représente aujourd'hui la principale source de failles dans iOS, mais les équipes d'Apple comme de Google comme d'Opéra comme des chercheurs indépendants s'intéressent de près à ces failles. Parmi les autres failles bouchées, on en trouve une qui concerne une mauvaise configuration des certificats, une autre sur le dévoilement temporaire du mot de passe MobileMe lors du partage d'un photo, ou enfin la possibilité d'injection de code dans iAd qui menait à la possibilité de contrôler la partie téléphonie de l'iPhone.
Le principal problème réglé est celui qui touche FreeType et par extension CoreGraphics et qui permettait d'exécuter du code à partir d'une police corrompue dans un PDF. C'était le système qui avait été mis en œuvre par certaines solutions de jailbreak comme JailbreakMe.
Plusieurs problèmes ont été réglés avec WebKit concernant le support du SVG, les barres de défilement, les WebSockets ou l'API de géolocalisation, et qui permettaient l'exécution de code arbitraire si un site tentait d'exploiter ces failles. Un problème a aussi été réglé dans Mail avec certains types de courriel qui appelaient des ressources externes : Mail pouvait parfois les charger alors même que l'utilisateur avait désactivé le téléchargement automatique des images. Plus qu'un simple problème de bande passante, il s'agit aussi d'un problème de vie privée : certaines formes de spam appellent depuis le corps du courriel un élément externe comme une image, et se servent du nombre de téléchargement de cette ressource pour mesurer l'efficacité de leur envoi.
Sans surprise, c'est WebKit qui représente aujourd'hui la principale source de failles dans iOS, mais les équipes d'Apple comme de Google comme d'Opéra comme des chercheurs indépendants s'intéressent de près à ces failles. Parmi les autres failles bouchées, on en trouve une qui concerne une mauvaise configuration des certificats, une autre sur le dévoilement temporaire du mot de passe MobileMe lors du partage d'un photo, ou enfin la possibilité d'injection de code dans iAd qui menait à la possibilité de contrôler la partie téléphonie de l'iPhone.
