Faille de sécurité dans Safari Mobile pour iOS 5

Le par  |  0 commentaire(s) Source : Major Security (via CNet)
Nouvel iPad 02

Une faille de sécurité dans Safari Mobile, identifiée sous iOS 5.0 mais toujours présente sous iOS 5.1, ouvre la porte à des manipulations d'URL (spoofing).

Le navigateur Safari Mobile sous iOS 5.0 et 5.1 ( et peut-être aussi pour des versions antérieures de l'OS ) peut donner lieu à des manipulations d'URL par des personnes malintentionnées. Une faille de sécurité a été décrite début mars 2012 par David Vieira-Kurz, de MajorSecurity, qui peut conduire à du spoofing, à savoir dans ce cas faire apparaître dans la barre d'adresse une autre URL que celle du site visité.

La faille est liée au traitement de l'URL par le module javascript window.open() au sein de Safari Mobile ( et de la bibliothèque WebKit sous-jacente ). MajorSecurity indique avoir reproduit l'exploit sur iPhone 4 et iPhone 4S, ainsi que sur iPad 2 et nouvel iPad, tous utilisant iOS 5.1.

Nouvel iPad 02Si l'information n'a été rendue publique que ces derniers jours, Apple a été avertie dès la découverte de la faille début mars. Elle devrait fournir un correctif dans une prochaine mise à jour, sans doute assez rapidement maintenant que la vulnérabilité est rendue publique.

En attendant, la prudence est de mise lors de la navigation Internet à partir de Safari Mobile et le respect des règles d'usage concernant les sites malveillants ne sera pas un luxe. Une telle méthode peut permettre de soutirer des données personnelles en simulant un site Web légitime.

MajorSecurity a même conçu une PoC ( proof of concept ) à tester via l'adresse http://majorsecurity.net/html5/ios51-demo.html à entrer dans un navigateur Safari Mobile.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]