iPhone: krytyczne luki załatane

Wraz z piątkową premierą nowego iPhone'a 3G firma Apple udostępniła nową wersję oprogramowania dla starego modelu telefonu - nosi ono oznaczenie iPhone 2.0. Specjaliści ds. bezpieczeństwa zalecają użytkownikom urządzenia jak najszybsze zainstalowanie tego oprogramowania - załatano w nim kilka poważnych błędów w zabezpieczeniach.

Co najmniej kilka z owych błędów stanowią luki krytyczne (choć podkreślić trzeba, że Apple nie używa tego określenia - firma nie korzysta z powszechnie przyjętych w branży IT stopni oceniania błędów) - znajdują się one m.in. w oprogramowaniu sieciowym oraz przeglądarce internetowej, w które wyposażony jest iPhone. Wiadomo, że błędy te mogą zostać do "przemycenia" do telefonu niebezpiecznego oprogramowania i uruchomienia go.

Aktualizacja iPhone 2.0 usuwa aż siedem błędów z przeglądarki Safari oraz trzy luki z zastosowanego w niej "silnika" Web Kit. Co ciekawe, jeden z owych błędów znany jest już co najmniej od kilku miesięcy - pod koniec marca znany specjalista ds. bezpieczeństwa Charlie Miller wykorzystał tę lukę do wygrania głośnego hakerskiego konkursu PWN2OWN (Miller włamał się do Macbooka Air przez lukę w Safari - pisaliśmy o tym w tekście "PWN 2 OWN: Mac pierwszą ofiarą").

Charlie Miller komentuje, iż dobrze się stało, że Apple wreszcie usunął tę niebezpieczną dziurę w zabezpieczeniach - ekspert przypomina, że producent iPhone'a wiedział o problemie już od dawna. W swoim pierwszym alercie na ten temat Miller zwracał uwagę, że luka występuje również w iPhone'owej wersji Safari, zaś przed kilkoma tygodniami specjalista krytykował Apple'a za to, że dziura wciąż nie została załatana.

Piątkowe uaktualnienie usuwa również kilka poważnych błędów związanych z usługami sieciowymi z kernela wykorzystanej w urządzeniu wersji Mac OS oraz z oprogramowania sieciowego CFNetwork.

"Telefon Apple'a nie był może na razie celem żadnych nagłośnionych ataków, ale uaktualnienie iPhone'a 2.0 powinni pobrać i zainstalować wszyscy użytkownicy tego urządzenia. Jeśli spojrzymy na to, jakie aplikacje atakują dziś najczęściej internetowi przestępcy, to zobaczymy, że na tej liście na jednym z pierwszych miejsc znajdują się przeglądarki internetowe" - komentuje David Marcus, specjalista z firmy McAfee.

Warto zaznaczyć, że zmiany wprowadzone w oprogramowaniu iPhone 2.0 nie ograniczają się do załatania błędów - uaktualnienie to dodatkowo wyposaża telefon w obsługę połączeń VPN (virtual private network) Cisco oraz technologii Microsoft Exchange ActiveSync. Przedstawiciele Apple zapewniają też, że poprawiono obsługę wiadomości e-mail oraz zarządzanie kontaktami.

Uaktualnienie przeznaczone jest dla pierwszej wersji iPhone'a oraz odtwarzacza iPod Touch. Nie trzeba go instalować we wprowadzonym właśnie do sprzedaży iPhone'ie 3G - urządzenie to standardowo wyposażone jest w najnowsze oprogramowanie.

Apple już od kilku miesięcy nie uaktualniał iPhone'a - ostatni pakiet poprawek dla oprogramowania tego urządzenia udostępniony został w połowie stycznia 2008 r.