Safari 3.1.2 : la réponse d'Apple à Microsoft

Le par  |  14 commentaire(s)
Safari_3

Apple livre pour Windows une nouvelle version estampillée 3.1.2 de son navigateur Web Safari et fait sa part du travail pour prévenir l'exploitation de la faille Carpet Bomb, dont la dangerosité est réelle en association avec une vulnérabilité IE.

Safari_3Depuis plusieurs semaines la polémique fait rage entre Microsoft et Apple sur fond d'une vulnérabilité à la responsabilité partagée, même si pour la majorité des experts en sécurité informatique, c'est surtout le navigateur Internet Explorer qui est à blâmer.

Tout a commencé fin mai avec la publication d'un avis de sécurité dans lequel Microsoft a indiqué mener une enquête au sujet d'une vulnérabilité clairement attribuée à Safari. Dans les faits, ladite vulnérabilité qualifiée de Carpet Bomb car ayant pour conséquence de tapisser le bureau de l'utilisateur Windows, ou le répertoire ~/Downloads/ de Mac OS X avec des fichiers indésirables avait en réalité été découverte à la mi-mai par un chercheur du nom de Nitesh Dhanjani. Ce dernier avait prévenu tant Microsoft qu'Apple de sa trouvaille.


Menace réelle sous Windows
La dangerosité réelle de cette faille n'a toutefois été prouvée que sous environnement Windows avec la publication d'un code exploit et d'une page Web preuve de concept par un autre chercheur, Liu Die Yu.

Au lancement, Internet Explorer recherche des fichiers DLL dans les dossiers où sont stockés les fichiers système Windows mais également sur le bureau. Par défaut, Safari télécharge les fichiers sur ce même bureau et sans en avertir au préalable l'utilisateur; telle est la faute du navigateur d'Apple. Pour le reste, tout est affaire de vulnérabilité dans IE6, 7 et 8 pour la bêta qui seront susceptibles d'exécuter un fichier DLL spécialement conçu, et donc placé sur le bureau par un téléchargement opéré via Safari. Liu Die Yu en a fait la démonstration avec un fichier " schannel.dll " corrompu pris en charge par IE, avec pour conséquence l'ouverture automatique du bloc-notes qui laisse augurer d'autres actions bien plus néfastes.


Apple fait le boulot
Avec la version 3.1.2 pour Windows de Safari, Apple a donc corrigé le comportement laxiste de son navigateur qui désormais rapatrie par défaut les fichiers dans le dossier " Mes Documents " sous Windows XP, et " Téléchargements " sous Windows Vista. Au passage, Apple en a profité pour corriger d'autres problèmes sécuritaires. Reste encore le cas IE...

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #257701
"qui désormais rapatrie par défaut les fichiers dans le dossier " Mes Documents " sous Windows XP, et " Téléchargements " sous Windows Vista."
C'est pas déplacer le problème qu'il faut, c'est avertir l'utilisateur...
Le #257721
@Luchy "C'est pas déplacer le problème qu'il faut, c'est avertir l'utilisateur..."

Sauf dans ce cas, c'est tout ce que peut faire apple...

La "faille", c'est pas de safari, mais de windows, qui va matter sur le bureau sans rien demander à personne.

Hors dans safari, par défaut, tout allait sur le bureau, d'ou le problème avec safari sous windows.

Apple a changé les emplacement, reste à MS de corriger le reste.

Le #257741
Surtout qu'au final, c'est IE qui charge des DLLs présentes sur le bureau sans rien demander à personne...
Quant à Safari, il suffit juste de changer le répertoire de téléchargement...

cf:

http://www.generation-nt.com/ie-safari-microsoft-faille-carpet-bomb-actualite-108301.html



Le #257861
Ben oui, mais outre la faille d'IE, le fait que Safari puisse télécharger des fichiers, dll ou autres, sans même demander son avis à l'utilisateur, ça me parait choquant !
Le #257881
@Chitzitoune >

Mais comment expliquer que Firefox n'a pas le même problème ?
Que cela coûterait à apple de notifier l'utilisateur et de lui demander l'emplacement de l'enregistrement ?
Le #257891
@Canardo "le fait que Safari puisse télécharger des fichiers, dll ou autres, sans même demander son avis à l'utilisateur, ça me parait choquant !"

Heu, c'est pas ça le "problème"
safari fait comme tout les navigateur, il télécharge pas "sans rien demander", c'est l'emplacement qu'il demande pas forcement (et par défaut sur le bureau, la ou IE va chercher des dll).

En faite, la faille en elle même, c'est uniquement de la faute à MS qui charge des dll sans rien dire si elles sont sur le bureau

Après, n'importe quelle appli qui met ces fichiers sur le bureau associé à cela, et boom (et pas spécialement safari, même si c'est avec lui "qu'on" s'est rendu compte du problème)

Le #257971
@TOS "
Mais comment expliquer que Firefox n'a pas le même problème ?"

A priori, toutes les applis ont le même problème (IE va chercher sur le bureau et charge tout...)

La différence, c'est surtout que par défaut, safari foutait tout et n'importe quoi sur le bureau (donc plus facile d'aller foutre une dll avec qu'avec une autre appli)

Mais même si toi tu copie "manuellement" une dll sur le bureau, IE va aller la voir....
Le #258031
@Chitzitoune >

Merci pour ta réponse.

En fait le sens de ma question était plutôt, pourquoi on ne montre pas du doigt les autres navigateurs ?

Tout simplement parce qu'ils demandent à spécifier un emplacement d'enregistrement. Quand j'enregistre avec IE, ça ne va pas directement dans un répertoire mais il me demande où enregistrer. Avec Firefox aussi. Avec Opera aussi.

Pourquoi Safari ne le fait pas ? C'est tellement compliqué que ça ? Ou c'est moi qui n'ai rien compris ?

Bizarre quand même que durant toutes ces années le problème était là sans personne pour s'en aperçevoir

Le #258041
@TOS "Quand j'enregistre avec IE, ça ne va pas directement dans un répertoire mais il me demande où enregistrer. Avec Firefox aussi. Avec Opera aussi."

Ca dépend comment tu les configures.

Firefox me télécharge tout dans le même répertoire, sans me redemander à chaque fois

Idem avec la fonction "téléchargement rapide" d'Opéra.

Le "problème" de safari, c'est seulement que par défaut, il fait un peu de bordel sur le bureau



Le #258091
Que ça soit sous Firefox ou Opera (ou IE) on sait quand même qu'on télécharge un fichier, ce qui ne semble pas être le cas de Safari
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]