Une faille Zero-Day frappe le navigateur web Safari

Notre confrère Vulnérabilité.com, spécialisé dans la sécurité informatique, nous annonce l'existence d'une faille critique dans Safari.


Faille 0-day
Du 18 au 20 avril derniers, à Vancouver, une ville portuaire de l'ouest canadien, s'est tenue la conférence CanSecWest. Au cours de cette dernière axée sur la sécurité informatique, la société TippingPoint a organisé un concours où il était question de mettre à mal la sécurité d'un ordinateur portable Apple MacBook. Pour cela, deux ordinateurs MacBook bénéficiant des dernières mises à jour de sécurité étaient connectés en réseau et mis à la disposition des participants. Celui qui parvenait le premier à pénétrer le système repartait alors avec un MacBook, ainsi qu'un prix de 10 000 dollars.

Le deuxième jour du concours, Shane Macaulay, un ingénieur en informatique mis à jour une faille de type Zero-Day dans le navigateur web Safari, et réussit à l'exploiter dans une arnaque de type phishing (ou hameçonnage). A l'origine de l'exploit, Dino Dai Zovi, un chercheur en sécurité informatique. Dans la nuit du 19 au 20 avril, ce dernier a passé neuf heures à le mettre au point avant de charger Macaulay d'en faire la démonstration en public. Si Macaulay a naturellement remporté l'ordinateur portable MacBook, Zovi revendique quant à lui la paternité de l'exploit. Il recevra par conséquent les 10 000 dollars une fois la faille vérifiée par TippingPoint.

Au vu du nombre de failles de type Zero-Day qui ont découvertes sous la plate-forme Windows, certains pouvaient penser que seule cette dernière était concernée. Cette démonstration vient de prouver le contraire.