Windows 7 et Safari : une faille de sécurité « 0-day » a été découverte
Une iFrame doit toujours savoir rester discrète
Secunia, une société spécialisée dans la sécurité informatique, a récemment émis un bulletin d'alerte concernant une faille, qualifiée de hautement critique, pour les utilisateurs de Safari sur Windows 7. En effet, celle-ci est de type « 0-day », ce qui signifie donc qu'elle peut donc d'ores et déjà être exploitée au moment où elle est révélée.
Pour exploiter cette faille, il faut envoyer à Safari une page web contenant une iFrame de très grande taille. Cela entrainera alors une erreur dans l'API NtGdiDrawStream qui se trouve, une nouvelle fois, dans le fichier win32k.sys.
Cette action aura pour conséquence de corrompre la mémoire et, suivant les cas, de provoquer un BSOD ou d'exécuter des lignes de codes arbitraires avec un niveau d'autorisation très élevé.
Secunia précise que la faille a été confirmée sur une version entièrement mise à jour de Windows 7 64 bits, mais que les autres versions peuvent également être touchées.
Actuellement aucune mise à jour ne semble être disponible, que ce soit du côté de Microsoft pour Windows 7, ou d'Apple pour Safari. Nous recommandons donc d'être prudent si vous utilisez cette combinaison de logiciels.
Pour exploiter cette faille, il faut envoyer à Safari une page web contenant une iFrame de très grande taille. Cela entrainera alors une erreur dans l'API NtGdiDrawStream qui se trouve, une nouvelle fois, dans le fichier win32k.sys.
Cette action aura pour conséquence de corrompre la mémoire et, suivant les cas, de provoquer un BSOD ou d'exécuter des lignes de codes arbitraires avec un niveau d'autorisation très élevé.
Secunia précise que la faille a été confirmée sur une version entièrement mise à jour de Windows 7 64 bits, mais que les autres versions peuvent également être touchées.
Actuellement aucune mise à jour ne semble être disponible, que ce soit du côté de Microsoft pour Windows 7, ou d'Apple pour Safari. Nous recommandons donc d'être prudent si vous utilisez cette combinaison de logiciels.
Source :
MacNN
Sébastien Gavois
le 22 décembre 2011 à 12:12
(13 768
lectures)
Actualités et brèves relatives
- 09 / 05 / 2011 : Amazon Cloud Player fonctionne maintenant dans Safari Mobile
- 15 / 04 / 2011 : Sécurité chez Apple : Safari 5.0.5 et mise à jour pour Mac OS X
- 24 / 03 / 2011 : IE 9, Chrome 10, Opera 11, Safari 5 et Firefox 4 : le meilleur est ?
- 18 / 01 / 2011 : Rumeur étrange : Apple pourrait fusionner Safari et iTunes
- 19 / 11 / 2010 : Safari 5.0.3 et 4.1.3 corrigent des soucis et améliorent Top Sites
- 08 / 09 / 2010 : Sécurité : Safari 5.0.2, Firefox 3.6.9 et 3.5.12, Thunderbird 3.1.3
- 28 / 07 / 2010 : Safari 5.0.1 : corrections et galerie des extensions
- 23 / 07 / 2010 : Safari : une faille rend le remplissage automatique trop bavard
