WhiteHat Security, compagnie spécialisée dans la protection des données critiques sur le web, vient de dévoiler une faille critique dans le navigateur Safari de Apple. Cette faille permettrait aux pirates de voler des informations personnelles enregistrées dans le carnet d'adresses d’OS X.
Ces attaques exploitent la fonctionnalité d'auto-complétion du navigateur (renseignement automatique d'un formulaire) pour y extirper des informations personnelles sans l'aval de l'utilisateur.
Il suffit qu'un site web malicieux crée dynamiquement un formulaire avec des champs de texte et des noms appropriés, comme "Adresse" ou "Carte de crédit" et simule les pressions des touches A-Z en JavaScript pour que le navigateur remplisse automatiquement ces champs. Il ne reste alors qu'à transmettre le formulaire pour voler ces informations.
Cette technique fonctionnerait même si les champs sont cachés dans la page, explique Jeremiah Grossman, responsable technique de WhiteHat Security sur son blog.
Grossman affirme qu'il a signalé cette vulnérabilité à Apple le 17 juin dernier et qu'il n'a reçu pour l'heure aucune réponse.
Il n'est pas clair pour l'instant si la vulnérabilité touche uniquement Safari 4 et 5 ou tous les navigateurs fondés sur le moteur de rendu WebKit ...dont Google Chrome. Il est donc recommandé aux utilisateurs des deux navigateurs de désactiver cette option en attendant le correctif.
Google n'a pas commenté la faille mais a affirmé que l'auto-complétion sur Chrome nécessiterait une confirmation qui ne pourrait pas être mimée en JavaScript.
Apple n'a pas donné des détails sur cette vulnérabilité mais a admis que « prenant très au sérieux la sécurité et la confidentialité, nous sommes au courant du problème et travaillons sur un correctif ».
Aucun exploit n'est à ce jour repéré. Mais la facilité de l'exploitation de la faille – et la difficulté à la repérer (aucun malware n'est installé) – laisse supposer que des pirates ont déjà dû la repérer et l'utiliser.
Source : Blog de Jeremiah Grossman
Lire aussi :
Apple numéro un des vulnérabilités selon Secunia mais ces failles seraient peu critiques, suivent Oracle et Microsoft
Apple aide le développement de Chromeet corrige deux failles majeures de sécurité du navigateur de Google
Chrome : 3.133,7 dollars si vous découvrez une faille majeure dans le navigateur, Google surenchérit de 133 dollars sur Mozilla
Google veut réinventer les règles de divulgation des failles *avec un "guide de bonne conduite" qui mettrait la pression sur les éditeurs
Les rubriques (actu, forums, tutos) de Développez :
Sécurité
Mac
Développement Web
En collaboration avec Gordon Fowler
Safari : une faille critique dans l'auto-complétion
Permet le vol d'informations critiques, Chrome pourrait aussi être touché
Safari : une faille critique dans l'auto-complétion
Permet le vol d'informations critiques, Chrome pourrait aussi être touché
Le , par Idelways
Une erreur dans cette actualité ? Signalez-nous-la !