🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Safari : cette faille vieille de 5 ans permettait à des hackers d'infecter vos appareils Apple

23 juin 2022 à 13h35
4
Safari © shutterstock
© Shutterstock

Safari a été pendant plus de cinq ans sensible à une faille de sécurité zombie, qui avait été éliminée en 2013 avant de se revenir à la vie en 2016.

L'équipe Project Zero de Google, en charge de découvrir des vulnérabilités zero day, est revenue sur l'histoire d'une faille de sécurité qualifiée de « zombie » touchant le navigateur Safari, et donc les appareils Apple.

Le patch de 2013 n'a pas suffi

Il s'agit de la vulnérabilité connue sous le nom de CVE-2022-22620, qui a obtenu un score de gravité de 8,8/10 selon le barème CVSS. Elle exploitait des faiblesses dans WebKit, une plateforme conçue par Apple qui propose aux développeurs des outils liés à l'intégration d'un moteur de rendu de pages web dans un navigateur.

La faille de sécurité concerne plus particulièrement l'API History de WebKit. Elle permettait aux hackers d'injecter et d'exécuter du code arbitraire à des fins malveillantes et a pu être activement exploitée, selon les aveux d'Apple même.

Ce qui est étonnant dans le cas de cette vulnérabilité, c'est qu'elle a été originellement identifiée et corrigée par Apple dès 2013… avant de faire son retour, d'où le sobriquet de « zombie » accordé par les chercheurs de Project Zero.

Une faille qui a pu être exploitée de décembre 2016 à janvier 2022

D'après Maddie Stone, l'une des expertes qui ont découvert la faille, une variante de celle-ci est réapparue trois ans après sa correction, en 2016. L'attaque a recours aux mêmes bugs que l'ancienne version, mais elle emprunte des chemins différents pour appuyer là où ça fait mal. Le code a également été modifié pour contourner les protections mises en place par Apple.

Pendant plus de cinq ans, Safari était donc sensible à cette faille de sécurité de deuxième génération. Apple a finalement publié une mise à jour sur Safari, iOS, iPadOS et macOS au mois de février 2022 pour s'en débarrasser, on espère définitivement cette fois-ci.

L'auteure de l'article détaillant ce cas dédouane les équipes d'Apple de toute responsabilité, admettant qu'il n'y a pas de réponse facile à ce qui aurait dû être fait différemment et que les développeurs qui ont corrigé la faille en 2013 ont « suivi de nombreuses bonnes pratiques »

Ils avaient notamment corrigé toutes les manières de déclencher la vulnérabilité, pas seulement le chemin utilisé pour la preuve de concept. Ils avaient également bien expliqué dans les commits la nature de la faille et la manière dont ils allaient la réparer.

Source : Project Zero

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
5
ivico
WebKit est open source non? Apple l’utilise et en est l’initiateur de mémoire mais d’autres utilisent (sony pour son navigateur Playstation par exemple).<br /> Ce n’est par ailleurs pas « une plateforme » mais un moteur de rendu au même titre que Gecko chez Firefox par exemple.
jeroboam64
Et a coté de ça apple fait la pub pour ses smartphones et la sécurité des donnés​:joy:
ben100g
sympa la gestion des releases chez AAPL …
bheller
Le gros problème de Safari, c’est que les mises à jours sont liées à l’OS. Quelqu’un qui ne met pas à jour son OS se retrouve bloqué avec les failles…
Voir tous les messages sur le forum

Lectures liées

Pour les soldes obtenez Photoshop, Premier Pro à -20% grâce à cette offre Adobe !
Gmail : la nouvelle interface sera bientôt déployée par défaut
La nouvelle IA de Luminar Neo permet d'effacer le fond de vos portraits en un clic
Apple met à jour l'ensemble de sa suite bureautique pour Mac, iOS et iPadOS
Même enterré, Internet Explorer continue de causer des bugs sur Windows
Cyberpunk 2077 : un mod pour intégrer dès maintenant le FSR 2.0
En version 103, Edge veut être le navigateur des gamers
Microsoft Edge va s'enrichir de 3 nouvelles fonctionnalités (dispensables ?)
Windows : les téléchargements du fichier ISO bloqués en Russie
Quand Google fait la pluie et le beau temps sur le Web avec ses Core Updates
Haut de page