Une faille sur Developer.apple.com dénoncée depuis le 27 avril

Le YGN Ethical Hacker Group affirme qu’une faille de sécurité touche le site d’Apple dédié aux développeurs sur Mac OS X, iPhone ou iPad. L’exploitation de la faille permettrait de mener à bien une attaque par phishing en redirigeant le visiteur sur un autre site. Depuis ce vrai faux site, il serait simple alors de réclamer des données personnelles (login, mot de passe, etc.) en leurrant l’attention de l’internaute, lequel se croyant toujours sous un site Apple.


Selon YGN, Apple a été alerté de la faille ce 27 avril mais ne l’a toujours pas pleinement colmaté, indique le site Networkworld.com. Du coup, le groupe de hackers menace de déverser sa découverte sur la liste Full Disclosure.

Une technique de pression qui avait déjà été menée à terme avec McAfee.com. Un mois après avoir alerté vainement l’éditeur, YGN dévoilait la faille de XSS sur la liste Full Disclosure. La faille était ensuite rapidement corrigée. Pour le cas d’Apple, il s’agirait de la possibilité d’injecter une redirection d'URL vers un site non approuvé (« Open Redirect ») .

Marc Rees le 29 juin 2011 à 17:02 (9 358 lectures)

Tweeter

• 07 / 06 / 2011 : Adobe corrige une faille XSS dans le lecteur Flash 10.3
• 19 / 05 / 2011 : Google confirme une faille pour Android 2.2 et antérieurs
• 16 / 05 / 2011 : Faille de sécurité : la HADOPI suspend sa connexion avec TMG !
• 22 / 04 / 2011 : Skype diffuse un correctif pour une faille importante sous Android
• 12 / 04 / 2011 : Flash : une nouvelle faille critique touche toutes les versions
• 17 / 03 / 2011 : Adobe : une faille critique 0-day dans Flash et Reader
• 31 / 01 / 2011 : Microsoft : une faille dans Windows peut révéler des informations
• 05 / 01 / 2011 : Microsoft : une faille 0-day exploitable à travers les miniatures

Actu Précédente Actu Suivante