Safari : une faille rend le remplissage automatique trop bavard

apple safariLa semaine aura décidément été particulièrement chargée en actualités relatives à la sécurité. Après la faille du Windows Shell et les raccourcis, les projets d’Adobe pour ses Reader et Acrobat ou encore la publication de la bêta de Microsoft Security Essentials 2.0, voici que le navigateur Safari d’Apple est affecté par une faille. Relative à l’accès aux données personnelles, elle est pourtant simple à « contourner » en attendant qu’un correctif soit déployé.
 
La faille se trouve dans la fonction remplissage automatique qui est l’apanage des navigateurs modernes. Comme son nom l’indique, cette fonctionnalité permet de remplir automatiquement les champs des formulaires lorsqu’ils sont connus, comme le nom, le prénom, la ville, etc. Le navigateur, Safari dans le cas présent, identifie les fameux champs et cherche ensuite dans la fiche contact les informations qui sont demandées. Les valeurs ne sont donc pas fixes.

Sauf que voilà, à travers un code JavaScript spécialement conçu, il est possible d’aller chercher ces informations sans même que vous en soyez averti. Voler les informations de l’utilisateur est déjà un problème, mais ce dernier devient encore plus sérieux dans la mesure où c’est tout le Carnet d’adresses du système qui se retrouve ouvert aux quatre vents.

Sous Mac OS X, les versions 4.X et 5.X de Safari sont concernées par la faille et donnent un accès complet au Carnet d’adresses. Le pirate peut, via un script caché dans une fausse publicité par exemple, avoir accès aux informations de tous les contacts. En fonction des machines, la pêche peut être particulièrement fructueuse. Sous Windows, la faille ne fonctionne pas tout à fait de la même manière et son exploitation est légèrement plus complexe. Les informations récupérées sont donc moins nombreuses, mais concernant tout de même tous les contacts (base intégrée du système).

Quant à bloquer l’exploitation de la faille, beaucoup auront déjà deviné tous seuls :

safari autofill

Il suffit de désactiver la fonctionnalité « Utiliser les informations de mon carnet d’adresses ». Bien évidemment, le remplissage des formulaires ne se fera plus automatiquement et vous serez quitte pour une bonne vieille frappe au clavier. Cela étant, pour une fois qu’une vulnérabilité est aussi simple à esquiver pour l’utilisateur, il ne faudra pas faire la fine bouche.

Considérée comme « peu critique » par Secunia puisqu'elle ne permet d'exécution arbitraire de code, la faille a été découverte par Jeremiah Grossman qui a publié sur son blog un proof-of-concept. Il indique avoir contacté Apple le 17 juin sans avoir obtenu d’autre réponse qu’un email automatique. Étant donnée la simplicité de la procédure pour ne pas être affecté, il a jugé préférable de répandre lui-même l’information.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !