Safari : une faille de sécurité qui traîne en longueur

Florian Innocente |
Secunia, spécialisé dans la sécurité informatique, a rendu publique une faille touchant Safari. Habituellement cela se fait après la résolution du problème, une fois que l'éditeur a bouché la faille de sécurité. Mais dans le cas présent, ce problème traîne depuis six mois. Secunia explique avoir averti Apple et, au fil du temps, s'être enquis de l'avancée de la mise au point d'un patch.

Apple a fini par ne plus communiquer sur la question, comme elle a pour habitude de le faire s'agissant de tout produit ou mise à jour à venir. Un comportement qui n'est pas inhabituel pour Apple, mais d'autres sociétés comme Microsoft, Adobe, Symantec, Novell ou IBM, explique Secunia, s'attachent à donner une estimation de calendrier de sortie et à rendre compte de l'avancée de leurs travaux. Secunia ayant pour politique de laisser six mois aux éditeurs pour revoir leur logiciel avant de dévoiler quelques détails sur le bug constaté, le délai a ici expiré.

Sur la question de la sécurité, il est à noter que Safari est sorti indemne du concours CanSecWest où ses concurrents ont mordu la poussière. Toutefois, un spécialiste comme Charlie Miller, qui l'avait fait tomber l'année dernière, avait séché cette rencontre cette année. Le navigateur d'Apple aura peut-être été par conséquent plus épargné que ses homologues.

Sur le même sujet :
- Pwn2Own : Internet Explorer tombe à son tour
- CanSecWest : Chrome s'effondre deux fois
- Sécurité : iOS a pris une grosse avance sur Android
Tags
#Safari #sécurité
avatar Johnny B. Good | 
En fait, ça fait depuis 1997 qu'Apple se concentre sur peu de produits et depuis toujours qu'elle ne communique pas. Soit tu es complètement à la ramasse dans ton analyse, soit tu as juste un bon train de retard. En plus d'être hors sujet.
avatar Kelv | 
Johnny B. Good: Apple communique, s'il y a pression. Notamment avec l'antennagate.
avatar Steeve J. | 
@Scalp : Non tu te trompes !!! Safari n'est pas tombé à la Cansecwest !!!
avatar Scalp | 
[quote=Steeve J.]@Scalp : Non tu te trompes !!! Safari n'est pas tombé à la Cansecwest !!![/quote] Non je ne me trompe pas, Safari est bien tombé à la Cansecwest. Il est tombé le 8 mars, en moins d'une heure, par l'équipe Vupen sur une attaque CVE, ce qui, je le répète, est peut-être plus honteux car c'était une faille connue depuis longtemps. [quote]We have written exploit for Mac OS X Safari x64 (CVE-2011-0115) in less than 1 hour! 10 pts won! #pwn2own[/quote] http://twitter.com/#!/VUPEN/status/177574709968375808
avatar pacou | 
Secunia le justicier. Ils se donnent un délai avant de communiquer ... Il s'agit d'un délai légal de leur loi à eux. Je veux bien qu apple soit lente à corriger un bug mais n'est ce pas de la mise en danger d'autrui que de divulguer des bugs même après un délai ?
avatar apenspel | 
pacou le justicier… M'en fous, je n'utilise pas safari.
avatar ErGo_404 | 
@pacou : si, c'est le but, mais le coupable, c'est Apple qui connait le bug et qui ne fait rien. Le seul moyen d'action de secunia pour protéger les utilisateurs c'est de rendre la faille publique pour motiver un peu Apple à se bouger pour la corriger. Et faut pas exagérer, il n'y a pas mise en danger d'autrui, tu vas pas mourir parce que ton PC s'est fait infecter.
avatar Manu33 | 
@ergo : tout votre discours est contradictoire. Vous dites qu'il faut publier le Bug pour protéger les utilisateurs...c'est une blague ? Vous croyez que la connaissance de cette faille va protéger qui que ce soit ? N'importe quoi. Qu'aller vous faire maintenant que vous connaissez la faille ? Rien Quant à dire qu'Apple ne fait rien, qu'est qu'on en sait ? Bref encore une fois, on indique au pirate que la porte est ouverte, on l'invite presque à rentrer. Belle mentalité...
avatar jujuv71 | 
Et Safari qui sait lire les vidéos youtube sans buger ? Safari qui comprends que quand on le tue, il faut arrêter de lire le son de la vidéo youtube en arrière plan ? Safari qui comprend que quand une page sur laquelle se trouvait une vidéo qui n'est pas forcément youtube doit arrêter de lire le son de la vidéo en arrière plan ? Bref, un safari qui fonctionne avec tout, c'est possible ?? C'est bien beau de faire des zolis iPad avec un super écran méga cool à regarder... Ça serait temps que Cupertino se concentre un peu plus aussi sur SES logiciels maison livrés avec MAC OS X....
avatar liocec | 
@ErGo_404 : +1
avatar Kelv | 
Manu33 : la blague c'est de croire que ne pas divulguer une faille la corrige. Alala, renseigne toi sur les mouvements no/full disclosure, et la raison pour laquelle c'est le full disclosure qui est utilisé aujourd'hui.
avatar Lio70 | 
@Manu33 +1
avatar Weeky | 
Safari est juste génial, surtout avec Extension Builder.
avatar MixUnix | 
De toutes façons, Apple ne réagit que qand la rumeur est forte ou que la pression des utilisateurs lui est défavorable: condensateurs dégoulinants, boitiers fissurés, cartes graph brulées, taches d'écran, programmes (PRO !) baclés etc. Ça lui fait pas de mal de lui rappeler qu'un client doit être respecté.
avatar hartgers | 
@jujuv71 : pour pratiquer tous les navigateurs les plus connus sur Mac (Opéra, Firefox, Chromium et Safari), je continue à utiliser Safari. Pas parce qu'il est celui qui dispose des meilleurs fonctionnalités, du plus d'extensions ou de la rapidité la plus fulgurante, car ce n'est évidemment pas le cas. Mais avec le trackpad, c'est vraiment le plus royal. Il a aussi quelque chose que les autres n'ont pas : la lecture native des PDF, un luxe, puisque dans les autres navigateurs il faut ouvrir avec Aperçu ou utiliser cette daube d'Adobe Reader qui crashe une fois sur deux.
avatar Kelv | 
hartgers : Chrome le fait normalement, mais ça vient peut être du fait que tu utilises Chromium, je suis pas sur...
avatar Mac Mac | 
@apenspel : 'M'en fous, je n'utilise pas safari.' Tu te crois être le centre du monde ? Ça m'enèrve ces cons d'individualistes.
avatar ziggyspider | 
[quote]ErGo_404 [12/03/2012 07:43] Et faut pas exagérer, il n'y a pas mise en danger d'autrui, tu vas pas mourir parce que ton PC s'est fait infecter.[/quote] … Et si quelqu'un prend le contrôle de ton PC et le fait te sauter à la gorge … ce n'est pas dangereux ?
avatar Domsou | 
@jujuv71 : Avez-vous indiqué cela auprès d'Apple ? Parce qu'au milieu d'un échange comme celui-ci ces remarques ne feront pas avancer les choses. YouTube ? Effectivement cela ne fonctionne pas bien avec Safari. Mais la responsabilité en incombe-t-elle à Safari uniquement ? Vimeo fonctionne comme un charme en HTML 5. Pourquoi YouTube ne fonctionne pas correctement ? Avez-vous contacter le support de YouTube pour cela ? Quand aux autres navigateurs n'en parlons pas : - vidéo impossibles à lire sous Firefox si Flash n'est pas installé sur la machine. Sans parler de la lourdeur de l'application elle-même. - Chrome ? La blague ! Il suffit de surveiller les connexions pour s'apercevoir que ce navigateur passe son temps à essayer de se connecter à on ne sait quels services ! - Opera ? Interface indigeste, logiciel très compliqué pas du tout dans l'esprit Mac - Raven ? Quand le logiciel ne partagera plus les sessions de Safari et corrigera cette barre immonde sur la gauche, peut être...
avatar curly bear | 
moi, j'aime bien que Safari continue à lire en arrière plan, c'est comme ça que je suis un match online ou que j'écoute certaines radio qui passent par Flash/html5. Comme quoi, le us et coutumes… Par contre, il est vrai que quand on commence à avoir beaucoup d'onglet ouvert, Safari mange pas mal de % CPU...
avatar Scalp | 
[quote]il est à noter que Safari est sorti indemne du concours CanSecWest[/quote] C'est vraiment de la mauvaise foi là... Safari est tombé le premier jour au bout d'une heure (avec une attaque CVE, ce qui est peut-être plus honteux que l'attaque 0day sur Chrome).
avatar Armas | 
Depuis un certain temps déjà, Apple, totalement imbue de son succès se permet le luxe de mépriser ses partenaires et les professionnels qui gravitent dans son environnement. Un état de fait absolument inacceptable de la part d'une entreprise NTI qui abandonne le développement de beaucoup de ses services pour se concentrer exclusivement sur une petite dizaine de produits phares. Je suis passé sur Chrome. Chrome a la fâcheuse manie de communiquer un peu trop souvent avec les petits traceurs du web, mais avec une bonne batterie de plugins, on arrive à s'en dépêtrer. La mentalité de google vis a vis de chrome (rémunération des failles trouvées, mises à jour régulières, ouverture à la communauté) est nettement plus dans l'esprit d'un web sécurisé et efficace. Le seul truc vraiment chiant est l'outil de MaJ automatique, mais on s'en formalise.

CONNEXION UTILISATEUR