Safari : une faille rend le remplissage automatique trop bavard

La faille se trouve dans la fonction remplissage automatique qui est l’apanage des navigateurs modernes. Comme son nom l’indique, cette fonctionnalité permet de remplir automatiquement les champs des formulaires lorsqu’ils sont connus, comme le nom, le prénom, la ville, etc. Le navigateur, Safari dans le cas présent, identifie les fameux champs et cherche ensuite dans la fiche contact les informations qui sont demandées. Les valeurs ne sont donc pas fixes.

Sauf que voilà, à travers un code JavaScript spécialement conçu, il est possible d’aller chercher ces informations sans même que vous en soyez averti. Voler les informations de l’utilisateur est déjà un problème, mais ce dernier devient encore plus sérieux dans la mesure où c’est tout le Carnet d’adresses du système qui se retrouve ouvert aux quatre vents.

Sous Mac OS X, les versions 4.X et 5.X de Safari sont concernées par la faille et donnent un accès complet au Carnet d’adresses. Le pirate peut, via un script caché dans une fausse publicité par exemple, avoir accès aux informations de tous les contacts. En fonction des machines, la pêche peut être particulièrement fructueuse. Sous Windows, la faille ne fonctionne pas tout à fait de la même manière et son exploitation est légèrement plus complexe. Les informations récupérées sont donc moins nombreuses, mais concernant tout de même tous les contacts (base intégrée du système).

Quant à bloquer l’exploitation de la faille, beaucoup auront déjà deviné tous seuls :


Il suffit de désactiver la fonctionnalité « Utiliser les informations de mon carnet d’adresses ». Bien évidemment, le remplissage des formulaires ne se fera plus automatiquement et vous serez quitte pour une bonne vieille frappe au clavier. Cela étant, pour une fois qu’une vulnérabilité est aussi simple à esquiver pour l’utilisateur, il ne faudra pas faire la fine bouche.

Considérée comme « peu critique » par Secunia puisqu'elle ne permet d'exécution arbitraire de code, la faille a été découverte par Jeremiah Grossman qui a publié sur son blog un proof-of-concept. Il indique avoir contacté Apple le 17 juin sans avoir obtenu d’autre réponse qu’un email automatique. Étant donnée la simplicité de la procédure pour ne pas être affecté, il a jugé préférable de répandre lui-même l’information.

Source : Jeremiah Grossman

Vincent Hermann le 23 juillet 2010 à 09:58 (13 762 lectures)

Tweeter

• 22 / 07 / 2010 : Faille critique des raccourcis Windows : une solution temporaire
• 15 / 07 / 2010 : Microsoft : bulletins de sécurité de juillet 2010
• 13 / 07 / 2010 : Avast présent sur plus de 20 % des PC des utilisateurs avancés ?
• 07 / 07 / 2010 : Windows Live Smartscreen bloque les liens vers des sites à risque
• 05 / 07 / 2010 : Des réseaux de smartphones zombies apparaissent
• 18 / 06 / 2010 : Faille dans l'anonymat des VPN : l'IPv6 mis à l'index
• 11 / 06 / 2010 : Donner au Président des USA un pouvoir d'urgence sur le net ?
• 10 / 06 / 2010 : iPad : une négligence d'AT&T expose 114 000 adresses email

Actu Précédente Actu Suivante