Comme nous vous l’avions annoncé dans cet article, Charlie Miller vient de remporter pour la quatrième fois le fameux concours de hacking pwn2Own lors de l’édition 2011 de la CanSecWest conférence.
Safari sur un iPhone 4 fonctionnant avec l’iOS 4.2.1 est la cible de l’attaque de Charlie, mise en place avec son compère Dion Blazakis de la société Independent Security Evaluators. Une faille dans le navigateur mobile d’Apple a été exploitée afin de voler les contacts du carnet d’adresses de l’iPhone. La vulnérabilité est toujours présente dans la nouvelle version iOS 4.3, mais n’est exploitable que si l’on parvient à contourner la double protection DEP et ASLR.
Les détails de la vulnérabilité sont tenus secrets mais seront communiqués à Apple qui disposera alors de six mois pour une correction avant divulgation publique. Rien ne nous dit donc qu’un jailbreak sera possible avec cette faille découverte dans Safari.