Windows 7 et Safari : une faille de sécurité « 0-day » a été découverte

Une iFrame doit toujours savoir rester discrète 80
Par
le jeudi 22 décembre 2011 à 12:12
Sébastien Gavois
Secunia, une société spécialisée dans la sécurité informatique, a récemment émis un bulletin d'alerte concernant une faille, qualifiée de hautement critique, pour les utilisateurs de Safari sur Windows 7. En effet, celle-ci est de type « 0-day », ce qui signifie donc qu'elle peut donc d'ores et déjà être exploitée au moment où elle est révélée.

safari comparo

Pour exploiter cette faille, il faut envoyer à Safari une page web contenant une iFrame de très grande taille. Cela entrainera alors une erreur dans l'API NtGdiDrawStream qui se trouve, une nouvelle fois, dans le fichier win32k.sys.

Cette action aura pour conséquence de corrompre la mémoire et, suivant les cas, de provoquer un BSOD ou d'exécuter des lignes de codes arbitraires avec un niveau d'autorisation très élevé.

Secunia précise que la faille a été confirmée sur une version entièrement mise à jour de Windows 7 64 bits, mais que les autres versions peuvent également être touchées.

Actuellement aucune mise à jour ne semble être disponible, que ce soit du côté de Microsoft pour Windows 7, ou d'Apple pour Safari. Nous recommandons donc d'être prudent si vous utilisez cette combinaison de logiciels.