Une faille 0-Day frappe le navigateur web Safari

Lors d'un très récent concours visant à mettre à l'épreuve la sécurité de la plate-forme Macintosh, un ingénieur a démontré l'existence d'une vulnérabilité de type Zero-Day dans Safari, le navigateur web développé par la société Apple et intégré au système d'exploitation Mac OS X.

Du 18 au 20 avril derniers, à Vancouver, une ville portuaire de l'ouest canadien, s'est tenue la conférence CanSecWest. Au cours de cette dernière axée sur la sécurité informatique, la société TippingPoint a organisé un concours où il était question de mettre à mal la sécurité d'un ordinateur portable Apple MacBook. Pour cela, deux ordinateurs MacBook bénéficiant des dernières mises à jour de sécurité étaient connectés en réseau et mis à la disposition des participants. Celui qui parvenait le premier à pénétrer le système repartait alors avec un MacBook, ainsi qu'un prix de 10 000 dollars.

Le deuxième jour du concours, Shane Macaulay, un ingénieur en informatique mis à jour une faille de type Zero-Day dans le navigateur web Safari, et réussit à l'exploiter dans une arnaque de type phishing (ou hameçonnage). A l'origine de l'exploit, Dino Dai Zovi, un chercheur en sécurité informatique. Dans la nuit du 19 au 20 avril, ce dernier a passé neuf heures à le mettre au point avant de charger Macaulay d'en faire la démonstration en public. Si Macaulay a naturellement remporté l'ordinateur portable MacBook, Zovi revendique quant à lui la paternité de l'exploit. Il recevra par conséquent les 10 000 dollars une fois la faille vérifiée par TippingPoint.

Au vu du nombre de failles de type Zero-Day qui ont découvertes sous la plate-forme Windows, certains pouvaient penser que seule cette dernière était concernée. Cette démonstration vient de prouver le contraire.

Posté le 24 avril 2007 par Jeremy Amiot - source vulnerabilite.com

Vous pouvez commenter cette nouvelle
en posant vos avis, questions et remarques
sur le forum actualité