Après le Windows Shell (voir cet article), c’est au tour du navigateur Safari d’Apple d’être victime d’une faille de sécurité.
Cette vulnérabilité est liée à la fonction de remplissage automatique des données. Pratique et présente sous tous les navigateurs, elle propose lors de la complétion d’un formulaire des valeurs déjà entrées, de quoi gagner du temps.
Une option active par défaut sous Safari appelée « Utiliser les informations de mon carnet d’adresses » permet de piocher les informations présentes dans ledit carnet afin de compléter certains champs de formulaires comme le nom ou la ville.
Le hic, c’est que grâce à la faille en question découverte par Jeremiah Grossman, un individu mal intentionné n’a qu’à ajouter un code JavaScript à un formulaire pour récupérer automatiquement et sans que l’utilisateur n’en soit averti les informations contenues dans le carnet d’adresses.
Toutefois, il serait plus facile pour le pirate d’exploiter cette faille sous Mac OS X que sous Windows où la procédure est plus complexe.
De quoi faciliter grandement le spam, phishing ou chantage d’après Grossman qui a prévenu Apple de l’existence de cette vulnérabilité le 17 juin dernier… sans que la firme à la pomme ne réagisse pour l’instant.
Contrairement au souci de raccourci d’icones sous Windows, une solution toute simple peut être appliquée afin de ne pas être victime de la faille qui touche Safari 4 et 5. Il suffit en fait de désactiver l’option « Utiliser les informations de mon carnet d’adresses ».
C’est d’ailleurs pourquoi Secunia qualifie cette vulnérabilité de peu critique.
[Source : Jeremiah Grossman]
Une réponse à “Safari : une faille liée au remplissage automatique qui vole des données”
Idée préconçue n°1 : Un mac c’est infaillible.
PS : Il manque 1 Milliard de bénéfice à Apple pour atteindre celui de µsoft.