La firme de Cupertino s'était déclarée impressionnée par le travail de Nitesh Dhanjani sur ce que l'on appelle une attaque en mode « carpet bomb ». Mais le chercheur en sécurité explique dans un entretien qu' « il a parlé il y a 2 ans de ce sujet avec Apple et des personnes m'ont répondu qu'il s'agissait d'une simple gêne et non d'un véritable danger ». Appréciation erronée, car peu de temps après la publication de Nitesh Dhanjani, un autre chercheur a démontré comment cette méthode pouvait être combinée avec une attaque sur Windows, déclenchant des applications non autorisées sur les PC. Apple avait alors corrigé cette faille sur la version Windows de Safari, mais pas celle dédiée aux Mac. Il estime qu'aucune démonstration n'a été réalisée sur cette dernière plateforme.
Pour Nitesh Dhanjani « dans le cadre d'une attaque « carpet bomb », la victime qui visite un site malveillant verra débuter le téléchargement des logiciels non autorisés sur son ordinateur, sans demande préalable d'autorisation » et d'ajouter « la plupart des navigateurs avertissent et demandent l'autorisation avant de télécharger des fichiers en local, Safari lui effectue cette tâche sans rien demander à l'utilisateur et cela peut représenter un risque ».
Certaines personnes ne sont pas d'accord avec cette analyse. Charlie Miller, hacker des solutions Apple, estime que ce bug n'est pas grave. « Basiquement, un site web peut commencer le téléchargement d'une application en toile de fond, dans un répertoire dédié. Ce n'est pas une situation idéale, mais je ne vois pas le problème que cela peut poser » et d'ajouter « surtout si l'alternative est un harcèlement continu à chaque fois que je veux télécharger quelque chose ». Apple de son côté n'a fait aucun commentaire sur le sujet.
Une faille de sécurité dans Safari qui tarde à être corrigée
0
Réaction
Il y a deux ans, la firme de Steve Jobs avait stoppé une faille de sécurité dans la version Windows de son navigateur Safari. Cependant pour la version Mac, Apple estime qu'un correctif n'est pas nécessaire.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire