Safari vulnérable aux attaques de type session fixation

Le par  |  0 commentaire(s)
Apple_Safari

Le navigateur Web phare d'Apple souffre d'une vulnérabilité lors de la manipulation de certains cookies dans plusieurs domaines de premier niveau. Des attaquants peuvent ainsi accéder aux services Web utilisés par l'internaute pris pour cible.

Apple_SafariAlex dit kuza55 de son nom de hacker, a révélé l'existence d'une faille de sécurité affectant le navigateur Web Safari d'Apple, et le rendant vulnérable aux attaques de type session fixation. Typiquement, ces attaques opérées via le Web, s'en prennent à l'identificateur unique attribué aux sessions de navigateur. La valeur de l'ID de session peut notamment être transmise entre le navigateur et le serveur Web dans un cookie. Ainsi, après avoir déterminé l'ID de session d'un utilisateur, un attaquant attend l'identification de ce dernier, et a alors recours à l'ID de session prédéfini pour usurper son identité en ligne.

Se faisant l'écho de la découverte de kuza55, Heise Security explique que Safari, lorsque qu'il manipule des cookies dans plusieurs domaines de premier niveau, contient une vulnérabilité dont l'exploitation peut permettre à des attaquants d'accéder aux services Web utilisés par la victime. " Safari manipule les TLDs (Top-Level Domain) comme .co.uk ou .com.au différemment des autres comme .com. Cela permet aux attaquants d'injecter un cookie que Safari va par la suite utiliser pour l'authentification à d'autres services dans le même TLD ".

Il n'y a pour le moment pas de correctif disponible pour combler cette vulnérabilité, et Heise Security précise que Internet Exporer, Firefox et Konqueror ont été par le passé vulnérables à ce type d'attaque. Des problèmes de sécurité résolus il y a maintenant 4 ans de cela.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]