Radware, fournisseur de solutions intégrées, annonce que son équipe de recherche a découvert une faille de sécurité de type déni de service dans le navigateur Safari de l’iPhone, dans sa version 1.1.4.
Pas de panique ! Pour être infectés, les possesseurs d’iPhone ont ouvert une page HTML contenant du code JavaScript, qui contient l’attaque. L’utilisateur est alors confronté à un déni de service (DoS) au niveau applicatif qui se traduit par un plantage du navigateur Safari et qui peut même aboutir à un arrêt complet de l’appareil iPhone.
Toutefois, une protection immédiate est disponible dans le cadre du service des mises à jour de sécurité de Radware, pour préserver les infrastructures des clients avant la divulgation publique de la faille.
Immédiatement, Itzik Kotler, Directeur du centre de sécurité opérationnelle de Radware, explique que ceci est un signe de la précipitation des fournisseurs. « Dans leur course pour lancer de nouveaux produits et applications, les fournisseurs négligent de toute évidence la priorité que doit être la sécurité. Les pirates continuent à détourner les logiciels d’autres personnes et leur tâche s’avère facilitée par des failles de conception que ces produits intègrent ».
Car c’est bien à cause d’une faille de conception que cette vulnérabilité peut être appliquée, et exploitée suite à une série d’opérations d’allocation dans le pool de mémoire dynamique, ce qui déclenche alors un bogue dans le gestionnaire de corbeille.
Cette faille ayant été identifiée récemment, aucun correctif n’existe actuellement. Les propriétaires d’iPhone restent donc vulnérables à de possibles attaques tant qu’Apple ne publie pas une mise à jour de sécurité.