Lors du concours de hacking Pwn2Own, les navigateurs Google Chrome, Internet Explorer et Firefox sont tombés. Safari est par contre ressorti indemne de cette compétition ( faute de tentatives d'attaques pour une faille 0-day ), même si Secunia lui assène un tacle.

La société de sécurité danoise a en effet publié des informations au sujet de deux failles affectant le navigateur. Une est partiellement corrigée tandis que l'autre ne l'est pas du tout. Cette dernière est présente dans le traitement des plugins. Elle permet un accès système à distance pour un attaquant et a été confirmée dans la version 5.1.2 de Safari pour Windows via les plugins Flash Player et RealPlayer.

Cette publication sanctionne le mutisme d'Apple qui a été prévenu de la faille non comblée il y a six mois. Secunia pointe ainsi du doigt la firme à la pomme, soulignant que des éditeurs comme Microsoft, Adobe, Symantec, Novell et IBM sont plus enclins au dialogue avec les découvreurs de failles.

" Naturellement, les dates de correction peuvent être sujettes à modification et la plupart des chercheurs semblent prêts à repousser une date de divulgation si nécessaire afin que l'éditeur puisse publier un correctif en bonne et due forme ", déclare Secunia.

Mais d'ajouter : " Cependant, après que l'éditeur ait eu l'opportunité d'analyser et débuter la correction d'une vulnérabilité, les chercheurs méritent de savoir quand un correctif doit être prévu ".

La décision de Secunia pourrait relancer le débat toujours houleux sur la divulgation dite responsable de vulnérabilités. Maintenant que des détails sont connus, les utilisateurs sont plus exposés à une exploitation par des attaquants.