Nouvelles failles de sécurité sous Safari 3.1.1

Ce 24.04.2008

Preuves de concept à l'appui pour étayer ses dires, Juan Pablo Lopez Yacubian a identifié plusieurs vulnérabilités de sécurité dans la toute fraîche version 3.1.1 du navigateur Web Safari pour Windows.

La mauvaise publicité continue pour le navigateur Web Safari dont l’arrivée sous environnement Windows en juin 2007 ne rencontre sans doute pas le succès escompté par Apple. Le navigateur le plus rapide au monde comme aime à le présenter la firme à la pomme ne remporte en tout cas pas les suffrages de PayPal eu égard à ses manquements en matière de sécurité, et c’est dans ce même domaine de la sécurité que le fureteur refait parler de lui. La mise à jour du navigateur est pourtant récente, puisque datant de la semaine dernière pour une mouture 3.1.1.


Safari 3.1.1 déjà épinglé
SecurityFocus qui diffuse une liste de bugs et autres vulnérabilités identifiés, des découvertes attribuées à un certain Juan Pablo Lopez Yacubian. Ce dernier affirme, preuves de concept à l’appui, que Safari 3.1.1 pour Windows souffre de 3 vulnérabilités. On en saura guère plus si ce n’est que ces vulnérabilités sont exploitables à distance. Deux d’entre-elles sont de type déni de service (crash) causé par une violation de l’accès en écriture ou en lecture, tandis que la troisième est de type spoofing avec le risque de falsification de la barre d’adresse en vue d’une interaction avec un site malicieux. Bref, la menace phishing redoutée par PayPal point à l’horizon.

D’autres versions de Safari sont susceptibles d’être également concernées. A noter que cette semaine, notre chercheur en sécurité aura été particulièrement prolifique, puisqu’il une vulnérabilité encore de type déni de service mais intéressant cette fois la future star de la Fondation Mozilla, Firefox 3. Comme il s’agit toutefois d’une version bêta et en l’occurrence une bêta 5, ... .


Source : Generation-nt