Mai 2012
Safari 5 bouche 48 failles de sécurité
par Anthony Nelzin le 09.06.2010 à 15:08
Safari 5 n'a pas seulement amené de nouvelles fonctions, mais a aussi corrigé beaucoup de bogues et de problèmes de sécurité. En tout, ce ne sont pas moins de 48 points de vulnérabilité qui ont été corrigés dans Safari 5 (et Safari 4.1 pour Tiger).Une des failles bouchées est celle qui avait été dénichée par Vincenzo Iozzo et Ralf-Philipp Wienmann, qui leur avait permis de prendre le contrôle d'un iPhone à partir de la visite d'une page Web malicieuse lors du dernier concours CanSecWest (lire : Concours CanSecWest : l'iPhone et le Mac ont été piratés). La faille a été corrigée sur le Mac, mais pas encore sur l'iPhone — ce sera peut-être pour l'iOS 4. Une faille du même ordre qui ne concerne que la version Windows de Safari a été elle aussi bouchée.
La plupart des failles bouchées, dont la faille Iozzo/Wienmann, étaient localisée dans Webkit, le moteur de rendu utilisé par Safari, mais aussi par Chrome. Ce n'est pas donc une surprise si Google, désormais principal contributeur de Webkit, est crédité pour la résolution de 12 des 48 failles, contre 4 pour Apple.
27 des 48 failles sont rangées dans la catégorie « injection de code arbitraire », ce qui signifie qu'elles sont considérées comme critiques, puisqu'elles peuvent mener à la prise de contrôle de la machine. 7 failles concernent quant à elles les vulnérabilités XSS (cross-site scripting), vulnérabilités contre lesquelles Safari 5 est plus résistant.
|
Vos réactions (13 réactions)
Zed-K
[09/06/2010 15:20]
@ bompi :
Mensonge !
Tout le monde ici sait bien qu'Adobe a le monopole des failles de sécurités voyons =)
@ bompi :
Mensonge !
Tout le monde ici sait bien qu'Adobe a le monopole des failles de sécurités voyons =)
sebastiano
[09/06/2010 15:21]
27 failles critiques. Dédicace à ceux qui croient qu'un logiciel, quelque soit son auteur, peut être sûr. C'est pas demain la veille.
27 failles critiques. Dédicace à ceux qui croient qu'un logiciel, quelque soit son auteur, peut être sûr. C'est pas demain la veille.
Shepherd
[09/06/2010 15:30]
Il serait intéressant de savoir combien de temps ces vulnérabilités ont traîné sur nos systèmes. Apple publie trop souvent ses mises à jour de sécurité "en bloc".
Il serait intéressant de savoir combien de temps ces vulnérabilités ont traîné sur nos systèmes. Apple publie trop souvent ses mises à jour de sécurité "en bloc".
Brewenn
[09/06/2010 15:43]
Publier une nouvelle version d'un logiciel avec seulement 2 ou 3 nouveautés ou restaurant des fonctions supprimées, mais corrigeant beaucoup de failles de sécurité à un impact beaucoup moins traumatisant.
On peut dire que cela rentre aussi dans une certaine façon de communiquer, le public, en grande majorité, retiendra les 2 ou 3 nouveautés et fera l'impasse sur les correctifs de sécurité et sera persuadé que sa plateforme est plus sure.
Publier une nouvelle version d'un logiciel avec seulement 2 ou 3 nouveautés ou restaurant des fonctions supprimées, mais corrigeant beaucoup de failles de sécurité à un impact beaucoup moins traumatisant.
On peut dire que cela rentre aussi dans une certaine façon de communiquer, le public, en grande majorité, retiendra les 2 ou 3 nouveautés et fera l'impasse sur les correctifs de sécurité et sera persuadé que sa plateforme est plus sure.
iduplo
[09/06/2010 15:47]
Du coup, qui a permis de résoudre les 32 autres failles?
Du coup, qui a permis de résoudre les 32 autres failles?
hok
[09/06/2010 15:59]
"Google, désormais principal contributeur de Safari"
ouai enfin faut pas exagérer, si on regarde les commit c'est principalement du @apple.com ou du @webkit.org
"Google, désormais principal contributeur de Safari"
ouai enfin faut pas exagérer, si on regarde les commit c'est principalement du @apple.com ou du @webkit.org
marc_os
[09/06/2010 16:08]
@ Shepherd : Il serait intéressant de savoir combien de ces vulnérabilités ont été exploitées sur nos systèmes, càd dans la vraie vie en dehors des preuves de concept ou des concours sur la recherche de failles....
@ Shepherd : Il serait intéressant de savoir combien de ces vulnérabilités ont été exploitées sur nos systèmes, càd dans la vraie vie en dehors des preuves de concept ou des concours sur la recherche de failles....
Brewenn
[09/06/2010 16:42]
@marc_os
Tu ne fait toujours pas la différence, ou fait semblant de ne pas comprendre, entres les failles découvertes par des gens honnêtes qui informent aussitôt la communauté, ou attendent un concours, et celles découvertes par des "voyous" qui les exploitent pour leur compte ou les revendent, mais surtout se gardent bien de les révéler à la communauté.
Les entreprises qui sont victimes de ces voyous évitant, le plus souvent, de communiquer ou longtemps après, afin d'éviter les mouvements de panique.
@marc_os
Tu ne fait toujours pas la différence, ou fait semblant de ne pas comprendre, entres les failles découvertes par des gens honnêtes qui informent aussitôt la communauté, ou attendent un concours, et celles découvertes par des "voyous" qui les exploitent pour leur compte ou les revendent, mais surtout se gardent bien de les révéler à la communauté.
Les entreprises qui sont victimes de ces voyous évitant, le plus souvent, de communiquer ou longtemps après, afin d'éviter les mouvements de panique.
alval
[09/06/2010 17:16]
Le nouveau Safari 5 a l'air pas mal mais je viens de constater que certaines page de Gmail.com se bloquent (aucun lien n''est actif) et il faut recharger la page.
Le nouveau Safari 5 a l'air pas mal mais je viens de constater que certaines page de Gmail.com se bloquent (aucun lien n''est actif) et il faut recharger la page.
Armas
[09/06/2010 21:04]
C'est bien, mais ne nous excitons pas, Apple viens de corriger la un retard de presque 6 mois, elle ne prend en aucun cas une avance sur les autres navigateurs.
Quoi qu'il en soit, l'effort est bon.
C'est bien, mais ne nous excitons pas, Apple viens de corriger la un retard de presque 6 mois, elle ne prend en aucun cas une avance sur les autres navigateurs.
Quoi qu'il en soit, l'effort est bon.
tidoudou77
[09/06/2010 22:18]
Euh, j'suis pt'être hors sujet, mais je suis sous Tiger (10.4.11), et je viens de mettre à jour Safari via le panneau de mise à jour de logiciels, et quand je regarde le "à propos de Safari", il m'indique une... version 5.0 (4533.16) !!!!!! Je croyais que la version 5.0 était réservée à Snow Leopard, et pour Tiger il s'agissait de la 4.1 ??? Je suis assez étonné... suis-je le seul dans ce cas ?
Euh, j'suis pt'être hors sujet, mais je suis sous Tiger (10.4.11), et je viens de mettre à jour Safari via le panneau de mise à jour de logiciels, et quand je regarde le "à propos de Safari", il m'indique une... version 5.0 (4533.16) !!!!!! Je croyais que la version 5.0 était réservée à Snow Leopard, et pour Tiger il s'agissait de la 4.1 ??? Je suis assez étonné... suis-je le seul dans ce cas ?
Hindifarai
[09/06/2010 22:21]
@ Brewenn
Vaste débat que celui tournant autour du full disclosure et qui a alimenté les trolls au début de la démocratisation d'internet.
Mais aujourd'hui il faut quand même ouvrir les yeux sur le fait que les OS communiquant largement sur la sécurité sont ceux utilisés sur les serveurs clés, DNS et autres et que jamais tu n'y trouveras d'OS avec la politique que tu défends (les serveurs IIS sous windows deviennent anecdotiques et les serveurs sous osx servers sont très rares).
Après chacun est libre de se voiler la face et de considérer que la gestion de la sécurité est mieux sur son OS parce que c'est son OS.
@ Brewenn
Vaste débat que celui tournant autour du full disclosure et qui a alimenté les trolls au début de la démocratisation d'internet.
Mais aujourd'hui il faut quand même ouvrir les yeux sur le fait que les OS communiquant largement sur la sécurité sont ceux utilisés sur les serveurs clés, DNS et autres et que jamais tu n'y trouveras d'OS avec la politique que tu défends (les serveurs IIS sous windows deviennent anecdotiques et les serveurs sous osx servers sont très rares).
Après chacun est libre de se voiler la face et de considérer que la gestion de la sécurité est mieux sur son OS parce que c'est son OS.
Réagir
Cinq consignes avant de réagir :
- Rester dans le cadre de la dépêche. Pour des discussions plus générales, vous pouvez utiliser nos forums.
- Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
- Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
- Pour toute remarque concernant le contenu de l'article, pour nous signaler une erreur, une faute d'orthographe, une omission, merci de nous contacter exclusivement par e-mail.
- Relisez-vous, et pour les utilisateurs de Safari profitez de l'aide du navigateur : activez le menu édition > Orthographe > Vérifier l'orthographe lors de la frappe.
Ce qui veut dire qu'il y avait quelque retard sur ce sujet.