Une faille d'iOS permet de lancer un code non signé
Par arnaud - Mis à jour le
Miller a eu l'intuition de cette faille lors de la sortie d'iOS 4.3, exploitant un moteur javascript très rapide dans Safari, le Nitro JavaScript engine. Si rapide, en fait, qu'Apple est passé outre sa politique protectrice et a autorisé ce moteur à exécuter un code non signé dans un espace mémoire du iBidule. Miller a déniché le moyen d'exploiter cette vulnérabilité à partir de n'importe quelle application et a même, suprême outrage, fait valider une application Proof of Concept par Apple.
Le chercheur précise qu'il a averti Cupertino de cette faille. La Pomme travaille peut-être à un correctif mais pour l'heure s'est "contenté" de virer l'application Proof of Concept et aussi, pour faire bonne mesure, de supprimer le compte développeur de Charlie Miller. Mauvais joueurs !