🔴 LE BLACK FRIDAY EN DIRECT !

Safari : une faille pioche dans le carnet d'adresses

01 juin 2018 à 15h36
0
0078000001946224-photo-mike-safarilogo.jpg
Ironie du sort ? Alors que nous mentionnions une nouvelle suite de sécurité éditée par McAfee pour le système d'exploitation Mac OS X, une faille a été découverte au sein du navigateur Safari. Certains sites malicieux seraient en effet capables d'obtenir les informations personnelles d'un utilisateur même si ces derniers ne les ont jamais entré au sein du navigateur.

Découverte par Jeremiah Grossman, fondateur de WhiteHat Security, la brèche toucherait les versions 4 et 5 de Safari, soit 4% du marché ou 83 millions d'internautes. Ces deux moutures présentent en effet une option activée par défault baptisée « utiliser les informations de mon carnet d'adresses ». Cette fonctionnalité permet de piocher des informations dans le carnet d'adresses pour des champs présentant certains attributs du type : input type="text" name="name", input type="text" name="city" ou input type="text" name="country".

Ces champs étant capables de puiser les données directement dans l'application sur Mac OS X, cette fonctionnalité se différencie donc du mode de remplissage automatique généré lorsque l'internaute a précédemment remplis ces informations au travers du navigateur. M.Grossman explique qu'une personne malintentionnée n'aurait qu'à ajouter un JavaScript à ces formulaires pour générer l'entrée immédiate d'informations personnelles. L'expert à mis en place un site Internet afin de démontrer la manière dont l'attaque fonctionne. Il précise que les données commençant par un chiffre ne sont cependant pas extraites automatiquement du carnet d'adresses.

0258000003394460-photo-safari-preferences.jpg


« Ce type d'attaques pourrait se généraliser à plusieurs niveaux aussi bien pour le spam, le phishing ou le chantage si une personne se rendant sur un site perd d'emblée son anonymat », explique l'expert. Il ajoute : « ces attaques pourraient très bien se déployer à grande échelle sur les réseaux publicitaires où personne n'y prêterait attention (...) En fait on ne peut pas être certains que cela ne soit pas déjà le cas ». Jeremiah Grossman a prévenu Apple le 17 juin dernier mais la firme de Cupertino n'a toujours pas retourné de réponse.

La faille en question semble bien liée à Safari sur Mac OS X. Cette dernière ne peut être reproduite sur Chrome en version 5.0 ou Firefox 4 bêta 1. Pour plus de sécurité il est conseillé de désactiver l'option mentionnée ci-dessus dans les options du navigateur.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Twitter se dote d'un nouveau Data Center
Windows 7 et Office dopent les résultats de Microsoft
Le Sénat veut la gratuité pour le déverrouillage des mobiles
Nokia vend toujours plus mais ses bénéfices chutent
Microsoft et ARM renforcent leur collaboration
Google cars, les Etats-Unis veulent des noms
RockYou adopte la monnaie virtuelle de Facebook
MulteeGaming : le pari en ligne s'ouvre au monde du jeu sur consoles
Samsung ST100 et ST600 : deux compacts à double écran
Samsung distribue gratuitement le livre pour développeurs sur Bada
Haut de page