La vulnérabilité dite de " Carpet Bomb ", a en réalité été découverte par le chercheur en sécurité Nitesh Dhanjani le 15 mai dernier et il en a averti tant Microsoft qu’Apple. Via l’exploitation de cette faille Safari, il est possible pour un site malveillant de tapisser le bureau de l’utilisateur Windows ou le répertoire de téléchargement par défaut d’une machine Mac OS X (~/Downloads/), de fichiers non désirés. En cause, le fait que le fureteur d’Apple ne peut pas être configuré pour demander la permission préalable de l’utilisateur avant d’opérer un téléchargement. " Safari télécharge du contenu sans le consentement de l’utilisateur et le place dans un lieu défini par défaut à moins d’un changement ", explique Nitesh Dhanjani sur son blog.
Apple a indiqué à Dhanjani qu’il ne s’agissait pas là d’un problème très urgent à corriger, mais a toutefois retenu sa solution consistant à intégrer dans Safari une fonctionnalité donnant la main à l’utilisateur et consistant à demander son avis avant de rapatrier du contenu en local. Une option qui ne corrigera pas la faille mais nécessitera un remaniement de l’interface utilisateur.
Pour Microsoft, l’affaire paraît néanmoins plus grave et d’incriminer un double problème avec d’un côté le choix par défaut imposé par Safari pour le téléchargement, et de l’autre la manière dont le bureau Windows gère les exécutables. Selon Microsoft, des fichiers, comprendre de potentiels malwares, pourraient ainsi être téléchargés sur la machine de l’utilisateur sans message d’avertissement et s’exécuter à son insu.
Un cocktail détonant
Aviv Raff, un autre chercheur en sécurité, se veut plus explicite en incriminant une combinaison diabolique associant ledit problème lié à Safari avec une vulnérabilité liée à Internet Explorer. Pour Raff, les deux bugs de sécurité de Safari et Internet Explorer sont modérés mais leur association donne naissance à une vulnérabilité critique permettant l’exécution de code à distance. Un joli tour de force de Safari dans l'environnement Windows.
