Safari pour Windows déjà victime de failles (màj)

Introduite à la surprise générale en début de semaine, la version Beta pour Windows de Safari 3 (voir Apple : annonces en direct de la WWDC 2007), le navigateur Internet d'Apple, subit déjà le feu de la critique. Les spécialistes de la sécurité ont en effet mis un peu moins de deux heures pour débusquer les premières failles de sécurité. David Maynor, ingénieur chez Errata Security propose ainsi un rapport complet sur la première vulnérabilité de Safari, résultant en un crash total de l'application (rapport consultable ici). L'intéressé, qui était déjà à l'origine de l'affaire de la faille Wi-Fi sur MacBook, indique d'ailleurs que la faille n'était pas franchement difficile à débusquer alors qu'elle est plutôt dangereuse. Il s'agit en effet d'une vulnérabilité pouvant permettre l'exécution de code sans aucune interaction de l'utilisateur simplement en visitant un site Internet.

Désireux de contribuer à l'amélioration de la sécurité de Safari, les auteurs de cette découverte portent une estocade aux propos d'Apple qui vante Safari comme un navigateur conçu pour être sûr dès le premier jour. Cette assertion est probablement vraie sous Mac OS X, où l'application se sert des fonctions de sécurité du système d'exploitation, mais vraisemblablement pas sous Windows. Apple devra donc encore travailler pour faire en sorte que son navigateur s'adapte aux protocoles de sécurité de Windows ou qu'il embarque ses propres couches de sécurité. Car la faille décrite ici n'est pas la seule affectant le navigateur, près d'une demi-douzaine de vulnérabilités ayant déjà été référencées dans la version Beta, avec notamment des failles pouvant donner le contrôle complet du PC à un pirate distant.

Mise à jour du 14/06/2007 à 12h14 : Apple a publié une version beta 3.01 pour corriger certaines de ces failles. Elle peut être obtenue via notre fiche de téléchargement Safari.