Safari_3Dans les prochains jours, l’échange d’amabilités risque de monter d’un ton entre Microsoft et Apple sur le front de la sécurité. Vendredi, la firme de Redmond a en effet publié un avis de sécurité au sujet d’une vulnérabilité affectant le navigateur d’Apple et permettant l’exécution de code à distance sur toutes les versions de Windows XP et Vista où Safari peut opérer, si tel a bien sûr été le choix de l’utilisateur. Le fureteur n’est pas installé par défaut sous Windows. Aucune attaque à déplorer pour le moment mais Microsoft se fait l’avocat du principe de précaution déconseillant à demi-mot l’utilisation de Safari, du moins avant la publication d’un correctif qui pourrait être de son cru. Autre solution moins radicale pour minimiser les risques, modifier le dossier assigné par défaut pour les téléchargements.

La vulnérabilité dite de " Carpet Bomb ", a en réalité été découverte par le chercheur en sécurité Nitesh Dhanjani le 15 mai dernier et il en a averti tant Microsoft qu’Apple. Via l’exploitation de cette faille Safari, il est possible pour un site malveillant de tapisser le bureau de l’utilisateur Windows ou le répertoire de téléchargement par défaut d’une machine Mac OS X (~/Downloads/), de fichiers non désirés. En cause, le fait que le fureteur d’Apple ne peut pas être configuré pour demander la permission préalable de l’utilisateur avant d’opérer un téléchargement. " Safari télécharge du contenu sans le consentement de l’utilisateur et le place dans un lieu défini par défaut à moins d’un changement ", explique Nitesh Dhanjani sur son blog.

Apple a indiqué à Dhanjani qu’il ne s’agissait pas là d’un problème très urgent à corriger, mais a toutefois retenu sa solution consistant à intégrer dans Safari une fonctionnalité donnant la main à l’utilisateur et consistant à demander son avis avant de rapatrier du contenu en local. Une option qui ne corrigera pas la faille mais nécessitera un remaniement de l’interface utilisateur.

Pour Microsoft, l’affaire paraît néanmoins plus grave et d’incriminer un double problème avec d’un côté le choix par défaut imposé par Safari pour le téléchargement, et de l’autre la manière dont le bureau Windows gère les exécutables. Selon Microsoft, des fichiers, comprendre de potentiels malwares, pourraient ainsi être téléchargés sur la machine de l’utilisateur sans message d’avertissement et s’exécuter à son insu.


Un cocktail détonant
Aviv Raff, un autre chercheur en sécurité, se veut plus explicite en incriminant une combinaison diabolique associant ledit problème lié à Safari avec une vulnérabilité liée à Internet Explorer. Pour Raff, les deux bugs de sécurité de Safari et Internet Explorer sont modérés mais leur association donne naissance à une vulnérabilité critique permettant l’exécution de code à distance. Un joli tour de force de Safari dans l'environnement Windows.