Az Apple kiadta az iPhone és iPod Touch 3.1.3-as firmware-ét, melyben több kritikus sebezhetőséget orvosol. A problémák elsősorban az audió illetve videólejátszásért felelős modulokat érintik és kódfuttatást tesznek lehetővé speciálisan összeállított médiafájlok esetén, ezeken kívül a WebKitet is távolról rá lehet venni, hogy rosszszándékú utasításokat hajtson végre, ha sikerül a felhasználót egy megfelelően beállított FTP szerverre csalogatni.
A berhelt iPhone-t használóknak - bár a redsn0w eszközt nem rég frissítették - természetesen most sem ajánlott az új firmware-re történő átállás.
A fentieken kívül ma még egy szifonos érdekességről lehetett olvasni: egy a Cryptopath blogon megjelent bejegyzés szerint egy kis social engineeringgel az Apple okostelefonjai pofonegyszerűen rávehetők alapvetően megbízhatatlan forrásból származó konfigurációk telepítésére.
A nagylétszámú flották távoli konfigurációját (szebb nevén: Over-The-Air provisioning) lehetővé tevő kliens szoftver csak aláírt konfigurációkat fogad el, ami jó, csakhogy a megbízható tanúsító szervezetek listáját egy az egyben átveszi a Safaritól. Ebben a listában pedig olyan szervezetek is szerepelnek, mint a VeriSign amelyek egy eldobható e-mail címért cserébe hajlandóak mindenféle nevekre demó tanúsítványokat osztani. A bloggerek csináltak is egy ilyen, 60 napos tanúsítványt az "Apple Computer" névre, majd alárítak vele egy "Security Update" címmel ellátott konfigurációt, ezt bárki elérheti a
címen. A fájl természetesen nem tesz semmi gonoszat, csak betölt egy népszerű YouTube videót, de a szakértők szerint ilyen módon módosítható a globális webproxy beállítás és a megbízható CA-k listája is, ami remek Man-in-the-Middle támadásokra ad lehetőséget. Ehhez pedig nem kell mást tenni, mint rávenni az egyszeri iPhone felhasználót, hogy telepítsen egy nagyon fontos, megbízhatónak tűnő frissítést.