Safari : une faille pioche dans le carnet d'adresses

23 juillet 2010 à 08h35
0
0078000001946224-photo-mike-safarilogo.jpg
Ironie du sort ? Alors que nous mentionnions une nouvelle suite de sécurité éditée par McAfee pour le système d'exploitation Mac OS X, une faille a été découverte au sein du navigateur Safari. Certains sites malicieux seraient en effet capables d'obtenir les informations personnelles d'un utilisateur même si ces derniers ne les ont jamais entré au sein du navigateur.

Découverte par Jeremiah Grossman, fondateur de WhiteHat Security, la brèche toucherait les versions 4 et 5 de Safari, soit 4% du marché ou 83 millions d'internautes. Ces deux moutures présentent en effet une option activée par défault baptisée « utiliser les informations de mon carnet d'adresses ». Cette fonctionnalité permet de piocher des informations dans le carnet d'adresses pour des champs présentant certains attributs du type : input type="text" name="name", input type="text" name="city" ou input type="text" name="country".

Ces champs étant capables de puiser les données directement dans l'application sur Mac OS X, cette fonctionnalité se différencie donc du mode de remplissage automatique généré lorsque l'internaute a précédemment remplis ces informations au travers du navigateur. M.Grossman explique qu'une personne malintentionnée n'aurait qu'à ajouter un JavaScript à ces formulaires pour générer l'entrée immédiate d'informations personnelles. L'expert à mis en place un site Internet afin de démontrer la manière dont l'attaque fonctionne. Il précise que les données commençant par un chiffre ne sont cependant pas extraites automatiquement du carnet d'adresses.

0258000003394460-photo-safari-preferences.jpg


« Ce type d'attaques pourrait se généraliser à plusieurs niveaux aussi bien pour le spam, le phishing ou le chantage si une personne se rendant sur un site perd d'emblée son anonymat », explique l'expert. Il ajoute : « ces attaques pourraient très bien se déployer à grande échelle sur les réseaux publicitaires où personne n'y prêterait attention (...) En fait on ne peut pas être certains que cela ne soit pas déjà le cas ». Jeremiah Grossman a prévenu Apple le 17 juin dernier mais la firme de Cupertino n'a toujours pas retourné de réponse.

La faille en question semble bien liée à Safari sur Mac OS X. Cette dernière ne peut être reproduite sur Chrome en version 5.0 ou Firefox 4 bêta 1. Pour plus de sécurité il est conseillé de désactiver l'option mentionnée ci-dessus dans les options du navigateur.
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

Twitter signale le billet de Trump menaçant de tirer sur les émeutiers
Premier vol habité de Crew Dragon : un décollage historique réussi, à revoir en replay !
Windows 10 mise à jour de mai 2020 : demandez la liste des bug déjà connus !
Trump signe un décret sur les réseaux sociaux, mais que contient-il ?
5G : le Royaume-Uni veut une alliance de 10 pays pour contrer les équipementiers chinois comme Huawei
StopCovid : l'Assemblée nationale adopte officiellement l'application, qui sera disponible dès ce week-end
Porsche va devoir limiter les ventes de la Taycan pour réussir à contenter les clients
Un supercalculateur a simulé l'impact qui aurait fait disparaître les dinosaures
Bouygues Telecom lance une offre dématérialisée, avec une box incluse dans les Smart TV Samsung
Le vaisseau Starship de SpaceX est homologué par la FAA

Notre charte communautaire

  • 1. Participez aux discussions
  • 2. Partagez vos connaissances
  • 3. Échangez vos idées
  • 4. Faites preuve de tolérance
  • 5. Restez courtois
  • 6. Publiez des messages utiles
  • 7. Soignez votre écriture
  • 8. Respectez le cadre légal
  • 9. Ne faites pas de promotion
  • 10. Ne plagiez pas
  • Consultez la charte
scroll top