Safari_3 Brian Mastenbrook est loin d'être un inconnu et la mention de son nom à de multiples reprises dans les notes publiées par Apple pour détailler le contenu sécuritaire de plusieurs de ses mises à jour, suffit à donner du crédit à ce découvreur de failles émérite. Nul doute que prochainement, la firme à la pomme écrira comme par le passé : " Nous remercions Brian Mastenbrook pour avoir signalé ce problème ".


Le fureteur d'Apple touché par une vulnérabilité
Le bonhomme paraît donc des plus sérieux - c'est que l'on commence à se méfier depuis une soi-disant faille affectant Windows Media Player démentie par Microsoft -, et à priori pas de raison de mettre en doute ses dires lorsqu'il affirme que le navigateur Safari est affecté par une vulnérabilité dont l'exploitation permet à un site malveillant de lire les fichiers sur le disque dur d'un utilisateur, sans interaction de sa part. Sont ainsi sous la menace e-mails, mots de passe ou encore cookies qui peuvent être utilisés pour obtenir les données nécessaires au détournement d'un compte utilisateur sur un site Web.

Mastenbrook n'en dira guère plus et pas de full disclosure à attendre de sa part. Apple a été prévenu de sa découverte et dans l'attende d'une mise à jour de sécurité, Mastenbrook donne quelques bons conseils afin d'éviter toute mauvaise surprise, même si visiblement, aucune attaque n'est pour le moment à déplorer.

Comme la vulnérabilité est en relation avec la façon dont Safari manipule les flux RSS, il recommande aux utilisateurs Mac OS X de ne pas autoriser leur lecture par le navigateur (option par défaut) mais de laisser cette tâche à une application tierce (Mail d'Apple ou un autre navigateur). Safari n'est pas uniquement présent sous environnement Mac OS, et sous Windows le problème existe également. Dans ce cas, la mesure de contournement est simple et réside au recours d'un autre navigateur, Mastenbrook ne parlant alors plus de déléguer la lecture de flux RSS à une autre application.