Vous n’êtes probablement pas sans le savoir, mais le jailbreak de l’iPhone 4, et surtout de l’iOS4 est arrivé le week-end dernier sous une forme disons….inattendue. En effet, le jailbreak se fait directement depuis le navigateur Safari de votre iPhone, pas de logiciel à installer. Mais, la faille de Safari utilisée est comblée pour la prochaine mise à jour logicielle selon Apple.

Pour rappel, le jailbreak JailbreakMe 2.0 consiste à injecter un PDF contenant une police d’écriture conçue de manière malveillante entraînant l’exécution arbitraire d’un code.

Déclaration d’un porte parole d’Apple :

Nous sommes conscients de ce problème rapporté, nous avons déjà développé un correctif et il sera disponible pour nos clients dans une mise à jour logicielle prochaine.

L’analyste Charlie Miller y est aussi allé de sa petite explication :

Il y a deux vulnérabilités distinctes dans l’iPhone qui ont été découvertes avec la sortie du jailbreak [JailbreakMe]. La première, la façon dont le navigateur fait l’analyse du PDF, permettant l’injection du code dans le ‘sandbox’. La seconde permet au code de « s’échapper » du ‘sandbox’ afin de prendre le compte ‘root’ [compte administrateur] pour contrôler des privilièges sur l’appareil.