Ouvrir le menu principal

MacGeneration

Recherche

Safari : une grosse faille avec le remplissage automatique

Christophe Laporte

mercredi 21 juillet 2010 à 11:55 • 18

AAPL

A l'occasion de la conférence Black Hat qui se tient la semaine prochaine, Jeremiah Grossman détaillera une faille particulièrement sensible sur Internet Explorer et Safari.

La fonction Remplissage automatique de formulaires peut selon lui jouer de vilains tours aux possesseurs d'Internet Explorer 6 et 7 et de Safari 4 et 5. Un utilisateur malintentionné peut récupérer l'ensemble de vos données stockées par cette fonction, sans que vous interveniez.

Il suffit au hacker de créer une page avec des champs communs "Nom", "Prénom", "Adresse email" et de mettre au point un script qui simule la saisie d'un caractère dans l'un de ces champs et le tour est joué.



L'homme n'avait pas prévu de communiquer sur cette faille, si Apple l'avait pris au sérieux. Il affirme avoir contacté la firme de Cupertino à ce sujet à deux reprises le mois dernier, mais n'a reçu depuis qu'un courriel de réponse automatique.

À cette occasion, il montrera également comment un webmaster peut discrètement s'il le souhaite effacer l'ensemble des cookies d'un navigateur distant. Apparemment, tous les butineurs sont concernés par ce problème.

Pour ces deux failles, Jeremiah Grossman a créé des preuves de concept. Il lui faut à peine 2,5 secondes pour supprimer tous les cookies d'un butineur.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner