Come previsto, Apple ha rilasciato ore fa l’atteso, ma da tanti “temuto”, nuovo aggiornamento software per il suo supertelefonino iPhone, Update 1.1.1. L’aggiornamento introduce numerose novità nel software del dispositivo tra cui il supporto per il nuovo iTunes Wi-Fi Music Store, annunciato tempo fa, miglioramenti per il volume di microfono e ricevitore, modifiche alla UI del software, supporto per il TV out e correzione per 10 vulnerabilità di sicurezza.
Se avete seguito le nostre precedenti notizie riguardo l'”unlocking” di iPhone e la possibilità di “bricking” per i dispositivi sbloccati tramite gli strumenti pubblicamente disponibili, vi interesserà sapere che i telefoni “sbloccati” che vengono aggiornati con iPhone Update 1.1.1 vengono nuovamente “bloccati” ma non “trasformati in un mattone” aka “bricking”. Ovviamente la community di hacking è in queste ore impegnata nell’analisi del nuovo firmware per verificare le novità introdotte da Apple per contrastare l'”unlocking” del dispositivo. La situazione sta venendo seguita da vicino anche dai due siti specializzati Gizmodo ed Engadget.
Riassumiamo quanto finora emerso
L’aggiornamento funziona correttamente con iPhone “non modificati”; l’update funziona come previsto anche con gli iPhone con Installer.app (anche se questa applicazione viene eliminata o nascosta nel telefono); L’update funziona anche con gli iPhone “sbloccati” con anySIM ma restituisce un telefono bloccato sul messaggio di richiesta attivazione (niente bricking ma nessun modo di eseguire l’attivazione – forse solo con schede AT&T vergini); le applicazioni third-party non funzionano più dopo l’update; iPhone Update 1.1.1 esegue il “relock” del telefono se sbloccato con anySIM; La soluzione di sblocco “commerciale” di iPhoneSimFree non restituisce un telefono “bloccato” dopo l’aggiornamento, ma le SIM di altri provider non funzionano più (si dovrà attendere un aggiornamento del software “jailbreak”). Attualmente il gruppo di hacker iPhone Dev Team, come già anticipato, consiglia agli utenti di iPhone “sbloccati” di non aggiornare al nuovo firmware.
Novità introdotte in iPhone Update 1.1.1
- Supporto iTunes Wi-Fi Music Store;
- volume più alto per microfono e ricevitore;
- ll doppio click sul pulsante Home porta ai preferiti del telefono o ai controlli della riproduzione musicale;
- Il doppio-tap sulla barra spaziatrice permette di inserire intelligentemente punti e spazi;
- Gli allegati di posta sono visualizzabili in modalità portrait e landscape;
- Città e quote azionari in Stocks e Waether possono essere riordinate;
- Stato della batteria Apple Bluetooth Headset nella Status Bar;
- Supporto per TV Out;
- Impostazioni per disattivare EDGE/GPRS quando in roaming internazionale;
- Nuovi intervalli di blocco Passcode;
- Volume delle notifiche modificabile.
Apple ha reso disponibile anche un video che guida gli utenti attraverso le nuove funzionalità introdotte con questo aggiornamento di Settembre.
Aggiornamenti di sicurezza
In un advisory dedicato alla sicurezza, Apple elenca anche tutti gli aggiornamenti di protezione inclusi in iPhone Update 1.1.1, 7 per il browser Safari, 2 per l’applicazione Mail, ed uno per il Bluetooth.
Il problema corretto nel Bluetooth server di iPhone (CVE-2007-3753) può consentire un crash del software o l’esecuzione di codice arbitrario tramite l’invio di pacchetti Service Discovery Protocol (SDP) modificati con Bluetooth abilitato.
L’applicazione Mail di iPhone presenta invece due falle di sicurezza: una falla di information disclosure con connessioni SSL (CVE-2007-3754) che permetteva ad attacker di impersonare il server mail dell’utente; e un problema di sicurezza legato all’utilizzo dei link “tel:” (CVE-2007-3755) che poteva essere sfruttato per eseguire chiamate senza richiesta di conferma da parte dell’utente.
Il browser Safari è affetto invece da 7 vulnerabilità: CVE-2007-3756: disclosure dei contenuti URL; CVE-2007-3757: unintended dialing via “tel:”; CVE-2007-3758, CVE-2007-3760 e CVE-2007-3761: falle di cross-site scripting; CVE-2007-3759: la disattivazione di JavaScript non ha effetto fino al riavvio di Safari; e CVE-2007-4671: JavaScript può accedere o manipolare contenuti di documenti serviti tramite HTTPS. Tutti i dettagli nell’advisory.
Fonte Tweakness