Safari 5 bouche 48 failles de sécurité

Anthony Nelzin-Santos |
safari-5Safari 5 n'a pas seulement amené de nouvelles fonctions, mais a aussi corrigé beaucoup de bogues et de problèmes de sécurité. En tout, ce ne sont pas moins de 48 points de vulnérabilité qui ont été corrigés dans Safari 5 (et Safari 4.1 pour Tiger).

Une des failles bouchées est celle qui avait été dénichée par Vincenzo Iozzo et Ralf-Philipp Wienmann, qui leur avait permis de prendre le contrôle d'un iPhone à partir de la visite d'une page Web malicieuse lors du dernier concours CanSecWest (lire : Concours CanSecWest : l'iPhone et le Mac ont été piratés). La faille a été corrigée sur le Mac, mais pas encore sur l'iPhone — ce sera peut-être pour l'iOS 4. Une faille du même ordre qui ne concerne que la version Windows de Safari a été elle aussi bouchée.

La plupart des failles bouchées, dont la faille Iozzo/Wienmann, étaient localisée dans Webkit, le moteur de rendu utilisé par Safari, mais aussi par Chrome. Ce n'est pas donc une surprise si Google, désormais principal contributeur de Webkit, est crédité pour la résolution de 12 des 48 failles, contre 4 pour Apple.

27 des 48 failles sont rangées dans la catégorie « injection de code arbitraire », ce qui signifie qu'elles sont considérées comme critiques, puisqu'elles peuvent mener à la prise de contrôle de la machine. 7 failles concernent quant à elles les vulnérabilités XSS (cross-site scripting), vulnérabilités contre lesquelles Safari 5 est plus résistant.
Tags
#Safari
avatar bompi | 
Ce qui veut dire qu'il y avait quelque retard sur ce sujet.
avatar Zed-K | 
@ bompi : Mensonge ! Tout le monde ici sait bien qu'Adobe a le monopole des failles de sécurités voyons =)
avatar sebastiano | 
27 failles critiques. Dédicace à ceux qui croient qu'un logiciel, quelque soit son auteur, peut être sûr. C'est pas demain la veille.
avatar Shepherd | 
Il serait intéressant de savoir combien de temps ces vulnérabilités ont traîné sur nos systèmes. Apple publie trop souvent ses mises à jour de sécurité "en bloc".
avatar Brewenn | 
Publier une nouvelle version d'un logiciel avec seulement 2 ou 3 nouveautés ou restaurant des fonctions supprimées, mais corrigeant beaucoup de failles de sécurité à un impact beaucoup moins traumatisant. On peut dire que cela rentre aussi dans une certaine façon de communiquer, le public, en grande majorité, retiendra les 2 ou 3 nouveautés et fera l'impasse sur les correctifs de sécurité et sera persuadé que sa plateforme est plus sure.
avatar iDuplo | 
Du coup, qui a permis de résoudre les 32 autres failles?
avatar hok | 
"Google, désormais principal contributeur de Safari" ouai enfin faut pas exagérer, si on regarde les commit c'est principalement du @apple.com ou du @webkit.org
avatar marc_os | 
@ Shepherd : Il serait intéressant de savoir combien de ces vulnérabilités ont été exploitées sur nos systèmes, càd dans la vraie vie en dehors des preuves de concept ou des concours sur la recherche de failles....
avatar Brewenn | 
@marc_os Tu ne fait toujours pas la différence, ou fait semblant de ne pas comprendre, entres les failles découvertes par des gens honnêtes qui informent aussitôt la communauté, ou attendent un concours, et celles découvertes par des "voyous" qui les exploitent pour leur compte ou les revendent, mais surtout se gardent bien de les révéler à la communauté. Les entreprises qui sont victimes de ces voyous évitant, le plus souvent, de communiquer ou longtemps après, afin d'éviter les mouvements de panique.
avatar alval | 
Le nouveau Safari 5 a l'air pas mal mais je viens de constater que certaines page de Gmail.com se bloquent (aucun lien n''est actif) et il faut recharger la page.
avatar Armas | 
C'est bien, mais ne nous excitons pas, Apple viens de corriger la un retard de presque 6 mois, elle ne prend en aucun cas une avance sur les autres navigateurs. Quoi qu'il en soit, l'effort est bon.
avatar tidoudou77 | 
Euh, j'suis pt'être hors sujet, mais je suis sous Tiger (10.4.11), et je viens de mettre à jour Safari via le panneau de mise à jour de logiciels, et quand je regarde le "à propos de Safari", il m'indique une... version 5.0 (4533.16) !!!!!! Je croyais que la version 5.0 était réservée à Snow Leopard, et pour Tiger il s'agissait de la 4.1 ??? Je suis assez étonné... suis-je le seul dans ce cas ?
avatar Hindifarai | 
@ Brewenn Vaste débat que celui tournant autour du full disclosure et qui a alimenté les trolls au début de la démocratisation d'internet. Mais aujourd'hui il faut quand même ouvrir les yeux sur le fait que les OS communiquant largement sur la sécurité sont ceux utilisés sur les serveurs clés, DNS et autres et que jamais tu n'y trouveras d'OS avec la politique que tu défends (les serveurs IIS sous windows deviennent anecdotiques et les serveurs sous osx servers sont très rares). Après chacun est libre de se voiler la face et de considérer que la gestion de la sécurité est mieux sur son OS parce que c'est son OS.

CONNEXION UTILISATEUR