Chercheur en sécurité informatique, Jeremiah Grossman de WhiteHat Security a mis au jour une vulnérabilité affectant le navigateur Web Safari dans sa version 5 la plus à jour et versions antérieures. Sa trouvaille, il l'a partagée avec Apple il y a plus d'un mois, le 17 juin 2010. Tous les détails de la vulnérabilité ont été envoyés à la firme à la pomme mais Jeremiah Grossman n'a reçu aucun retour.

Le chercheur a donc décidé d'alerter le public. Sur son blog, il donne accès à une preuve de concept fonctionnelle sous Mac OS X et explique les contours de ladite vulnérabilité. Elle est due à un problème au niveau de la fonctionnalité de remplissage automatique des formulaires. Lorsque cette fonctionnalité est utilisée de concert avec les informations du carnet d'adresses de Mac OS X, certaines informations sont à la merci d'un attaquant via une page Web spécialement conçue.

L'extraction de données est possible même si l'utilisateur n'a pas au préalable saisi des données sur un site Web, ce qui constitue le fonctionnement plus traditionnel d'une option d'auto-complétion de formulaires Web. Pour l'exploitation, une page Web est créée avec plusieurs champs d'entrée ( ces champs peuvent être cachés sur la page ). Un script JavaScript simule une frappe au clavier avec les premières lettres possibles dans les champs ( nom, société, ville, pays, e-mail... ), et cela suffit à déclencher l'auto-remplissage en relation avec le carnet d'adresses.

La société Secunia a confirmé cette vulnérabilité, ne la qualifiant toutefois que de peu critique.  Jeremiah Grossman indique d'ailleurs qu'heureusement, toutes les données qui commencent par un chiffre ne peuvent pas être extraites du carnet d'adresses. Une mesure de contournement évidente consiste pour le moment à désactiver dans les paramètres de Safari la liaison entre le carnet d'adresses et la fonctionnalité de remplissage automatique des formulaires.

Sous Windows où avec Safari les informations de son carnet d'adresses peuvent aussi être utilisées avec le remplissage automatique, certaines informations peuvent également être obtenues en exploitant la faille.

Lors de la conférence Black Hat qui se déroulera la semaine prochaine aux USA, Jeremiah Grossman prévoit de faire la démonstration de faiblesses dans d'autres navigateurs : Internet Explorer, Firefox et Google Chrome. Une faiblesse similaire pour les anciennes versions d'IE ( IE6 et 7 ), et des failles qui pour Firefox et Google Chrome exposent les mots de passe sauvegardés. Selon The Register, pour que l'attaque puisse fonctionner il faut qu'une vulnérabilité XSS soit présente sur le site pour lequel un mot de passe sauvegardé a été utilisé.