Kaarlo Räihä
12. elokuuta, 2010 17:04
iOS 4- ja iOS 3.2 -ohjelmistolla varustettujen laitteiden tietoturvan ohittamisen mahdollistavat tietoturva-aukot nousivat viime viikolla otsikoihin, kun iPhone Dev Team julkaisi aukkoja hyödyntävän jailbreakme.com-sivuston. Jailbreakin ohella aukko mahdollistaa hyökkääjän haluaman ohjelmakoodin suorittamisen laitteissa, ja ilmaantuneiden hyökkäyskoodien takia Apple lopulta paikkasi ongelmat eilen iOS:n uusissa versioissa.
iOS 4.0.2- ja iOS 3.2.2 -ohjelmistoissa jailbreakme.com-sivuston käyttämä hyökkäys ei siis enää toimi. Täten jailbreakin tekeminen kyseisillä ohjelmistoversioilla varustettuihin laitteisiin ei tällä hetkellä onnistu.
Applen julkaisemat päivitykset asentuvat iPhone 3G-, iPhone 3G- ja iPhone 4 -puhelimiin sekä iPad-tabletteihin ja uudempiin iPod toucheihin. Päivitysten lataaminen ja asentaminen onnistuu iTunesin ja tietokoneen avulla.
Nyt korjatut tietoturva-aukot liittyvät PDF-tiedostoihin sisällytettyjen fonttien käsittelyyn ja kokonaislukujen käsittelyyn IOSurface-rajapinnassa. Fonttien käsittelyyn liittynyt ongelmaa vaivaa myös muitakin ohjelmia (mm. Foxit), joten hyökkäys voi toimia muissakin mobiililaitteissa.
Koska päivitykset eivät asennu ensimmäisen sukupolven iPhoneihin ja iPod toucheihin, ovat kyseisten laitteiden omistajat edelleen hyökkäysuhan alla. Kyseisten laitteiden omistajat voivat kuitenkin paikata nämä tietoturva-aukot jailbreikkaamalla laitteen ja asentamalla tämän jälkeen Cydiasta laitteisiin sopivan PDF patch -paketin.