Une grosse faille de sécurité dans Safari

Christophe Laporte |
Brian Mastenbrook a découvert une faille permettant à des utilisateurs malintentionnés de récupérer des informations sensibles stockées sur votre ordinateur (mot de passe, cookies permettant d'accéder à vos sites préférés…) par l'intermédiaire de Safari. Cette faille concerne aussi bien les utilisateurs de Safari sous Leopard que sous Windows.


RSS


Le développeur a envoyé toutes les informations nécessaires à Apple pour qu'elle puisse rectifier le tir le plus rapidement possible. En attendant, pour se protéger de la faille, il suffit de sélectionner dans les préférences un lecteur RSS par défaut autre que Safari. Cette astuce n'est valable que sur la version Mac.

En attendant, Brian Mastenbrook recommande aux personnes sous Windows d'utiliser un autre navigateur web.
avatar sams | 

Pas sûr d'avoir bien compris la recommandation en attendant le remède. Faut-il arrêter d'utiliser safari comme lecteur RSS ou faut-il arrêter d'utiliser safari tout court ?

avatar Mac_The_Knife | 

C'est pas la première fois qu'on découvre un faille de sécurité dans Safari... J'ai jamais accroché à Safari, ça tombe bien!
Je ne suis pas concerné, mais ça touche aussi l'iPhone?

@tradkwah : ça c'est le goût du risque : Windows + Safari !

avatar DarkDhalia | 

mince, je trouve rien d'aussi bien intégré à OS X que Safari, et les multiples failles relatées ici et là me font un peu douter de mon choix.

y'aurait bien firefox que j'utilise sur toutes mes autres machines non OSX, mais je le trouve merdique sous OS X.

avatar lau1967 | 

Bonjour à tous ;)
Les failles concernent tous les navigateurs, tous les logiciels en général.
Une simple recherche "firefox faille" ou "ie faille" vous permettra de relativiser.
Certaines sont justes plus critiques que d'autres.
Laurent

avatar nicogala | 

@Mac_The _Knife : tu connais un navigateur pour lequel on n'a jamais découvert de faille..?
Déjà Firefox 3 en a eu...
Alors bon...

avatar boulifb | 

Meuh non, Apple ne fais [b]jamais[/b] de bugs.
Il n'y a [b]aucun[/b] bug dans les logiciels Apple. C'est bien connu.
Et puis s'il y a des bugs, c'est de la faute à Microsoft... Na!

avatar nlex | 

C'est pas des bugs c'est des features :P

avatar oomu | 

vous avez encore besoin de vous disputer ?

il vous faut encore du vécu ?

-
oui c'est une faille de sécurité. heureusement, elle concerne un usage relativement anecdotique du programme et encore une fois uniquement les sites inconnus et louches (et ouf, il ne s'agit pas d'un bug pouvant être "injecté" dans un site connu via une pub par exemple)

et bref ! il est urgent qu'apple travaille, comme toujours.

Firefox n'est pas parfait, c'est vrai, mais c'est tout de même celui qui a le plus de travail actif et un très bon travail a été fait pour le corriger dés qu'un soucis apparaissait.

-
oui safari sur windows c'est un peu l'intru, le mal aimé. je reste persuadé qu'il n'est là que pour permettre sur windows de faire vivre l'iphone.

avatar oomu | 

>Meuh non, Apple ne fais jamais de bugs.
si

>Il n'y a aucun bug dans les logiciels Apple. C'est bien connu.
si et ce qui est connu c'est qu'ils sont bons. mais numbers est encore trop lent

>Et puis s'il y a des bugs, c'est de la faute à Microsoft... Na!
vrai. des décennies de mauvaises pratiques, ca a inspiré. ;) (humour, provoc ,blague)

avatar intra | 

Moi j'ai une question qui n'a pas trop à voir avec l'info donnée. C'est quoi "Google" comme lecteur RSS. J'utilise Reader tous les jours mais il y a pas trop des liens avec le fait que j'utilise Safari comme browser. Quelqu'un saurait eclarcir ma laterne? Merci d'avance

avatar arsinoe | 
avatar françois bayrou | 

@oomu : "et ouf, il ne s'agit pas d'un bug pouvant être "injecté" dans un site connu via une pub par exemple"

Comment le sais tu ?
au vu de l'article et du post du developpeur rien ne permet de le savoir.
Et quand je vois que des adserveurs sont capables de lire depuis un site B des cookies déposés depuis un site A, (atlas), lire des RSS ou tracker toutes sortes de choses, injecter du html et du javascript en plus du swf dans un slot, (eyeblaster)...
je ne dis pas qu'il faut s'en inquiéter, non, ma question est simplement, comment peux tu savoir que cette faille ne peut pas être exploitée via une pub ... ?

avatar puff | 

Et c'est re parti...... quand à moi je n'utilise jamais le RSS, supprimé depuis longtemps de mes navigateurs qui ont tous les mêmes problèmes, que ce soit Safari, Firefox ou IE ou d'autres mais c'est les 3 plus connus. Sur Windows j'utilise au boulot ts les jours Safari ou sinon Firefox pas de problèmes, mais ai supprimé aussi les RSS. Un navigateur, c'est un navigateur, je l'utilise juste pour naviguer, le reste c'est pas très utile

avatar Almux | 

Je suppose que certains windows-fan se réjouissent de constater qu'Apple n'est pas parfait...
Mais Apple est à M$ ce que le robinet qui coule goutte-à-goutte est à la passoire... ;-)))))))))))

avatar boulifb | 

@ arsinoe:
bien joué.

@ ptimac:
Oui.
Tiger: 11 Service Packs, Windows XP et Server 2003: 2 Service Packs.
Leopard 6 Service Packs, Vista: 1 service pack.
Logic Studio: 2 service pack, toujours les mêmes bugs au niveau du bouncer depuis la version 8.0.
Xcode 3: 4 service packs, Visual Studio 2008: 0 service pack, Visual Studio 2005: 1 service pack.

avatar Psylo | 

Il y'a plusieurs correctifs dans un service pack. Ca veux rien dire ça : Tiger: 11 Service Packs, Windows XP et Server 2003: 2 Service Packs...
Autant de différence entre XP SP1/SP2/SP3 qu'entre Panther/Tiger/Leopard.
Y'a toujours un fanboy pour passer pour un con. en crachant sur crosoft avec des arguments à deux balles.

avatar revol | 

On rassure tout de suite Brian, Safari sous Windows, tout le monde s'en tamponne ;)

avatar revol | 

@ptimac

Une faille, c'est une erreur dans le code qui autorise quelque chose de non autorisé.

une erreur dans le code... peut être que sur ta planète c'est pas un bug.

Mais pour nous autres terriens, c'est un bug...

avatar Proudhon | 

[quote]arsinoe [13/01/2009 15:14]

@ptimac

Oui, on peut :

http://www.zdnet.fr/actualites/informatique/0,39040745,39376754,00.htm[/quote]

J'ai encore mieux !!! ;-))

[url=https://www.macg.co/news/voir/128250/retour-sur-les-failles-de-mac-os-x]critique argumentée de l'article de ZDNET par Benjamin FERRAN de MacGé[/url]

[url=http://www.roughlydrafted.com/2007/12/21/vista-vs-mac-os-x-security-why-george-ous-zdnet-vulnerability-numerology-is-absurd/#more-1389]critique argumentéé de l'article de ZDNET par Daniel Eran Dilger[/url]
A lire…en entier!

[url=http://blogs.zdnet.com/security/?p=2065]importante faille de sécurité de Windows vieille de 2 ans… [/url]
…Ca fait mal !!

Quant aux c****eries du genre : 1 "service pack" mac = 1 service pack Windows,
je voudrais rappeler à certains qu'il y a [b]largement plus de differences entre jaguar (10.2) et panther (10.3) qu'entre windows XP SP1 et SP2[/b].
Différences plus nombreuses qui, statistiquement, génèrent souvent plus de bugs potentiels liés aux nouvelles fonctionnalités!

avatar revol | 

@Proudhon
Ha?
Source?
Tu les as comptées les différences?
"statistiquement" : peut on avoir les valeurs statistiques et leurs sources?

avatar Proudhon | 

Les sources, c'est moi (j'utilise Windows) et c'est aussi WIKI :
http://fr.wikipedia.org/wiki/Microsoft_Windows_XP#Service_Pack_1_.28SP1.29
http://fr.wikipedia.org/wiki/Mac_OS_X_v10.3

Il suffit de lister les équivalents, sous XP SP2, des nouveautés macos comme Filevault ou Exposé… alors que XP SP1 et Macos 10.2 sont sortis tous les 2 en été 2002 et que MacOS 10.3 est sorti presque un an avant Win XP SP2 !

"statistiquement" :
c'est les lois de la probabilité les plus élémentaires ! :-D
plus de nouveautés dans un logiciel = plus de chances qu'il soit buggé !
logique imparable!

avatar Proudhon | 

par contre j'ai fait une erreur (que j'ai rectifiée) :
l'article que je cite n'est pas de Christophe Laporte mais de Benjamin Ferran.
Si seulement il y avait des modos sur ce site, je suis sur qu'ils auraient rectifié mais ca n'est apparemment pas le cas ! :-D

avatar figaro | 

Eh bien moi je dis bravo à ce développeur :)

avatar loriscoutin | 

Encore une fois pour être victime de la faille il faudra aller sur des flux RSS ou des sites ouvrant des flux RSS pas très catholiques (j'entends par là tous les sites pas très légaux).
A moins que Macgénération soit mal intentionné et profite de la faille pour récupérer toutes ses infos...

avatar lukasmars | 

"En attendant, Brian Mastenbrook recommande aux personnes sous Windows d'utiliser un autre navigateur web."

Qui est assez Apple maniac pour utiliser safari sous Windows ???
Tous les autres navigateurs le surpassent.
L'exemple type du portage raté et fais à là va vite par Apple.

avatar tradkwah | 

je l'utilise sous windows juste pour pouvoir synchroniser les signets avec mon ipod, et pour éviter de le faire avec ie... ça ne marche pas avec firefox

CONNEXION UTILISATEUR