Windows : Microsoft pointe du doigt une vulnérabilité Safari

Le par  |  3 commentaire(s)
Safari_3

Microsoft a lancé les investigations au sujet d'une vulnérabilité affectant le navigateur Web Safari et plaçant à priori sous la menace les utilisateurs Windows. Une menace à la dangerosité versatile selon les points de vue.

Safari_3Dans les prochains jours, l’échange d’amabilités risque de monter d’un ton entre Microsoft et Apple sur le front de la sécurité. Vendredi, la firme de Redmond a en effet publié un avis de sécurité au sujet d’une vulnérabilité affectant le navigateur d’Apple et permettant l’exécution de code à distance sur toutes les versions de Windows XP et Vista où Safari peut opérer, si tel a bien sûr été le choix de l’utilisateur. Le fureteur n’est pas installé par défaut sous Windows. Aucune attaque à déplorer pour le moment mais Microsoft se fait l’avocat du principe de précaution déconseillant à demi-mot l’utilisation de Safari, du moins avant la publication d’un correctif qui pourrait être de son cru. Autre solution moins radicale pour minimiser les risques, modifier le dossier assigné par défaut pour les téléchargements.

La vulnérabilité dite de " Carpet Bomb ", a en réalité été découverte par le chercheur en sécurité Nitesh Dhanjani le 15 mai dernier et il en a averti tant Microsoft qu’Apple. Via l’exploitation de cette faille Safari, il est possible pour un site malveillant de tapisser le bureau de l’utilisateur Windows ou le répertoire de téléchargement par défaut d’une machine Mac OS X (~/Downloads/), de fichiers non désirés. En cause, le fait que le fureteur d’Apple ne peut pas être configuré pour demander la permission préalable de l’utilisateur avant d’opérer un téléchargement. " Safari télécharge du contenu sans le consentement de l’utilisateur et le place dans un lieu défini par défaut à moins d’un changement ", explique Nitesh Dhanjani sur son blog.

Apple a indiqué à Dhanjani qu’il ne s’agissait pas là d’un problème très urgent à corriger, mais a toutefois retenu sa solution consistant à intégrer dans Safari une fonctionnalité donnant la main à l’utilisateur et consistant à demander son avis avant de rapatrier du contenu en local. Une option qui ne corrigera pas la faille mais nécessitera un remaniement de l’interface utilisateur.

Pour Microsoft, l’affaire paraît néanmoins plus grave et d’incriminer un double problème avec d’un côté le choix par défaut imposé par Safari pour le téléchargement, et de l’autre la manière dont le bureau Windows gère les exécutables. Selon Microsoft, des fichiers, comprendre de potentiels malwares, pourraient ainsi être téléchargés sur la machine de l’utilisateur sans message d’avertissement et s’exécuter à son insu.


Un cocktail détonant
Aviv Raff, un autre chercheur en sécurité, se veut plus explicite en incriminant une combinaison diabolique associant ledit problème lié à Safari avec une vulnérabilité liée à Internet Explorer. Pour Raff, les deux bugs de sécurité de Safari et Internet Explorer sont modérés mais leur association donne naissance à une vulnérabilité critique permettant l’exécution de code à distance. Un joli tour de force de Safari dans l'environnement Windows.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #243431
Lol, trop fort quand même comme truc.
En plus le coup du "Microsoft se fait l’avocat du principe de précaution" est très recherché surtout quand on voit le temps qu'ils mettent à régler leurs propre problèmes.
Le #244001
Et le plus drôle c'est que les vrais problèmes commencent quand Internet Explorer se mêle de la partie!

« [...] en incriminant une combinaison diabolique associant ledit problème lié à Safari avec une vulnérabilité liée à Internet Explorer. »

Finalement, Safari reste plus sécuritaire qu'IE ... encore une fois.
Le #245051
Kawazoe >Pour toi télécharger un fichier sans autorisation de l'utilisateur n'est pas un problème de sécurité ?

Aviv Raff fait sans doute référence à une "faille" qui fait qu'en saisisant le nom d'un élément du bureau dans la barre d'adresse d'IE, IE _propose_ de l'executer.

Pour moi le plus grave est qu'un logiciel malveillant se soit retrouvé parmis mes fichiers... Si on ne peut plus avoir confiance en ses propres fichiers, où va-t-on ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]