Un jour après sa sortie, iOS 11.1 est hacké

 

Un jour après la sortie d’iOS 11.1, des chercheurs en sécurité ont déjà cassé le logiciel.

Les informations sur les exploits sont venues du concours Mobile Pwn2Own de Trend Micro à Tokyo, où des chercheurs en sécurité ont découvert deux vulnérabilités dans Safari, le navigateur du système d’exploitation mobile.

Cadeau de dernière minute

Il a fallu quelques secondes aux chercheurs de Tencent Keen Security Lab pour exploiter deux failles – une dans le navigateur et une dans un service système qui permet à une application malveillante de persister pendant un redémarrage.

Un autre bug dans Safari a permis aux chercheurs de casser la sandbox du navigateur et d’exécuter du code malveillant.

Les bugs ont valu aux chercheurs 70.000 dollars de récompense.

Mais les détails sur les exploits ne seront pas rendus publics tant qu’Apple n’aura pas corrigé les vulnérabilités, ou avant qu’une période de divulgation responsable de trois mois n’expire. On ignore quand Apple corrigera iOS 11 de ces failles.

iOS 11.1, la dernière version du système d’exploitation iPhone et iPad, a été lancée mardi, avec plusieurs nouvelles fonctionnalités, emojis, et correctifs de sécurité – y compris un correctif pour la vulnérabilité du réseau sans fil KRACK

La dernière version corrige également 19 vulnérabilités supplémentaires, a confirmé Apple.

Ce n’est pas la première fois qu’Apple est ainsi pris en défaut pour ses problèmes de sécurité. En septembre, un chercheur en sécurité a dévoilé une vulnérabilité zero-day pour le nouveau système d’exploitation d’Apple, macOS High Sierra, le jour de la sortie du logiciel.

Apple corrigeait le bug une semaine plus tard.

ZDNet