Safari 3.1.1 pour Windows : plusieurs failles découvertes

Le par  |  9 commentaire(s)
Safari_3

Preuves de concept à l'appui pour étayer ses dires, Juan Pablo Lopez Yacubian a identifié plusieurs vulnérabilités de sécurité dans la toute fraîche version 3.1.1 du navigateur Web Safari pour Windows.

Safari_3La mauvaise publicité continue pour le navigateur Web Safari dont l’arrivée sous environnement Windows en juin 2007 ne rencontre sans doute pas le succès escompté par Apple. Le navigateur le plus rapide au monde comme aime à le présenter la firme à la pomme ne remporte en tout cas pas les suffrages de PayPal eu égard à ses manquements en matière de sécurité, et c’est dans ce même domaine de la sécurité que le fureteur refait parler de lui. La mise à jour du navigateur est pourtant récente, puisque datant de la semaine dernière pour une mouture 3.1.1.


Safari 3.1.1 déjà épinglé
SecurityFocus qui diffuse une liste de bugs et autres vulnérabilités identifiés, se fait en effet l’écho des découvertes attribuées à un certain Juan Pablo Lopez Yacubian. Ce dernier affirme, preuves de concept à l’appui, que Safari 3.1.1 pour Windows souffre de 3 vulnérabilités. On en saura guère plus si ce n’est que ces vulnérabilités sont exploitables à distance. Deux d’entre-elles sont de type déni de service (crash) causé par une violation de l’accès en écriture ou en lecture, tandis que la troisième est de type spoofing avec le risque de falsification de la barre d’adresse en vue d’une interaction avec un site malicieux. Bref, la menace phishing redoutée par PayPal point à l’horizon.

D’autres versions de Safari sont susceptibles d’être également concernées. A noter que cette semaine, notre chercheur en sécurité aura été particulièrement prolifique, puisqu’il a découvert une vulnérabilité encore de type déni de service mais intéressant cette fois la future star de la Fondation Mozilla, Firefox 3. Comme il s’agit toutefois d’une version bêta et en l’occurrence une bêta 5, ... .
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #217161
On ne dit pas que quelqu'un a identifié des problèmes, en bon français, mais qu'il a détecté, décelé, repéré, isolé, mis à jour, révélé, trouvé etc. des problèmes. La langue française ne manque pourtant pas de ressources pour exprimer correctement les choses.

Décidément, ce $%&&?%$#* d'anglais ne cesse de nous envahir et est mis à toutes les sauces en français...
Le #217201
C'est basé sur quoi ce que tu dis text2texte

J'avoue bien être d'accord.
Le #217601
Quand on pense que cet éditeur de logiciel se permet de communiquer sur la "sécurité" et la fiabilité...
Le #217621
@text2texte "On ne dit pas que quelqu'un a identifié des problèmes"

Tant qu'à être tatillon, faut y être à fond:
Ca se dit, mais ça n'a pas le même sens.
Le #217651
KerTiaM : les cordonniers sont les plus mal chaussés.

A propos, pas encore une news sur la sortie d'Opera 9.50 béta 2 ?
Le #217991
Preuve est faite qu'apple aurait mieux fait d'éviter le portage sous windows.

". Ce dernier affirme, preuves de concept à l’appui, que Safari 3.1.1 pour Windows souffre de 3 vulnérabilités."

on notera le "pour windows".

dès lors, la faille vient elle de safari lui même, ou de safari SOUS windows ? non parceque sous OS X, elles sont ou les failles (et non, me ressortez pas le "woaaa macbook air cracké 2minutes du concours -sponsorisé par... microsoft- ou le gars avait un compte utilisateur sur le mac pour faire son "exploit" - putain trop balaise...)
non parce que 3 failles, ça va quand même quand on compare aux chiffres d'IE 6 par exemple, à la même époque relative (ie, 6 mois apres son lancement). Je fais pas du prosélytisme, je remets juste les chiffres à leur place. et les failles en question c'est quoi ? il donne des détails dugenou ? ah bah non, pardon , c'est les failles de webkit et de son implémentation du perl (ie, les meme que pendant la "cansec west" ie, des failles qui peuvent s'appliquer à tout OS utilisant ces librairies pour peu que l'utilisateur soit capable de rentrer son mot de passe admin quand une page web lui demande. du FUD, point final.)
Le #218071
"pour peu que l'utilisateur soit capable de rentrer son mot de passe admin quand une page web lui demande. du FUD, point final" >

Heuuu pour autant que je me rapelle la faille du macbook air était justement une élevation de privilege... donc l'histoire du "mot de passe admin qui protege tout... faut arréter de trop y croire..."
Le #218301
Menifred : sur le Petit Robert, entre autres. Ce n'est pas parce que identiffier existe en français qu'il a tous les sens de identify en anglais. Tu serais surpris de la liste de mots que l'on peut ainsi employer en français de façon fautive, sans le savoir, dans leur sens anglais.
Le #218311
lidstah faut pas refaire l'histoire.

Safari utilise WebKit, WebKit utilise une version MODIFIÉE de pcre, l'équipe de WebKit n'a pas rétro porté les patchs de pcre dans LEUR version à eux. Ceci explique pourquoi il n'y a aucun impact sur les autres projets utilisant EUX AUSSI la pcre.
Quand on n'a pas les ressources pour maintenir un fork de pcre, on forke pas. ( source : secunia, frsirt, etc. )

Deuxième point, à aucun moment le gars en question n'a posé ses mains sur le clavier du MBA. Toutes les manips devaient être dictée à un organisateur, c'est dans le règlement de CanSecWest encore en ligne. Un simple lien chargé dans Safari, une page piégée chargée, un Leopard pwned ! Aucun mot de passe requis, aucune action de l'utilisateur autre que la saisie de l'URL et l'appuie sur "entrée".

3eme point, Apple critique méchamment la sécurité de Windows est se permet quand même d'être l'auteur de QuickTime, iTunes et Safari, 3 emmentals* ! C'est à se demander si Apple ne le fait pas exprès tellement c'est gros.


* Le gruyère n'a pas de trou.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]