Les navigateurs Chrome et Safari utilisent tous deux WebKit et les 27 vulnérabilités identifiées et corrigées par Apple aujourd'hui concernent toutes le moteur Open Source. La plupart des vulnérabilités corrigées par la mise à jour de Safari - Apple a également corrigé Safari 4 qui fonctionne sous Mac OS X 10.4, alias Tiger - étaient accompagnées du commentaire « pourrait être utilisée pour l'exécution de code arbitraire, » qui équivaut à « critique » dans le langage d'Apple, lequel, comme on le sait, n'établit pas d'échelle de gravité contrairement à d'autres éditeurs de navigateurs Internet tels Google, Microsoft ou Mozilla. Selon Apple, les 23 bugs critiques pourraient être exploitées par des attaques de type « drive-by », c'est à dire des infections provoquées par des pages web dès que la victime accédait à un site malveillant.
Parmi les vulnérabilités non critiques et patchées aujourd'hui, l'une pourrait être utilisée par des administrateurs de sites peu scrupuleux pour espionner discrètement les habitudes de navigation des utilisateurs, même quand les cookies de Safari sont désactivés. Une autre faille pourrait permettre aux voleurs d'identité de détourner le nom de l'URL inscrit dans la barre d'adresse de Safari, une tactique communément utilisée dans le phishing pour récupérer les mots de passe des comptes bancaires en ligne. Apple a également corrigé plusieurs bugs de stabilité, et a amélioré la fiabilité de son outil utilisé pour bloquer les écrans de publicité surgissant. De même l'éditeur a affiné la précision des choix proposés dans le Top Sites, une fonctionnalité de navigation qui conserve les vignettes des sites les plus fréquemment visités.
Des chercheurs venant de la concurrence
Comme cela a été le cas auparavant, Apple a récompensé un grand nombre de chercheurs qui ont identifié les failles, y compris ceux qui travaillent pour des éditeurs concurrents, dont certaines réparées par cette mise à jour. Un tiers des vulnérabilités ont été signalées par les développeurs de Google, l'une a été repérée par un ingénieur de l'équipe de recherche de Microsoft, et une autre a été signalée par une personne travaillant pour Opera Software, la société norvégienne qui a conçu le navigateur du même nom.
La mise à jour d'aujourd'hui, qui fait passer le navigateur en version 5.0.3, est la première depuis le 7 septembre, et la troisième depuis le mois de juin, date à laquelle Apple a livré la version 5 de Safari. Les mises à jour pour Mac OS X 10.5 (Leopard), Mac OS X 10.6 (Snow Leopard), Windows XP, Windows Vista et Windows 7 peuvent être téléchargées depuis le site d'Apple. Sous Mac OS X, les utilisateurs sont informés automatiquement de la disponibilité de la nouvelle version, tandis que les utilisateurs sous Windows sont alertés par l'outil Apple Software Update quand ils ouvrent Safari.
Apple corrige 27 vulnérabilités affectant Webkit de Safari
0
Réaction
Apple a corrigé 27 vulnérabilités dans Safari pour Mac OS X et Windows, dont 85% critiques, c'est à dire qu'elles pourraient être exploitées pour détourner un ordinateur Mac ou PC. Parmi les 27 failles, 4 avaient été corrigées il y a deux mois par Apple dans le système d'exploitation mobile iOS, et au moins 3 avaient été traitées mi-août par Google dans son navigateur Chrome.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire