Nitesh Dhanjani a publié ce matin des informations sur certaines de ses dernières recherches sur le navigateur Web Safari et, chose intéressante, Apple a décidé de NE PAS résoudre certains des problèmes qu'il a présentés. Dhanjani a signalé trois problèmes, comme suit sur son blog: 1.
Dhanjani a signalé trois problèmes, comme suit ci-dessous de son blog:
1. Bombe de tapis Safari.Il est possible qu'un site Web malveillant encombre le bureau de l'utilisateur (Windows) ou le répertoire de téléchargements (~/Downloads/ sous OSX). Cela peut se produire car le navigateur Safari ne peut pas être configuré pour obtenir l'autorisation de l'utilisateur avant de télécharger une ressource. Safari télécharge la ressource sans le consentement de l'utilisateur et la place dans un emplacement par défaut (sauf modification).
Supposons que vous visitez un site malveillant,
http://malicious.example.com/, qui sert le code HTML suivant:...
Supposons maintenant que
http://malicious.example.com/cgi-bin/carpet_bomb.cgiest le suivant:#!/usr/bin/perl. print "Content-type: blah/blah\n\n"Puisque Safari ne sait pas comment rendrecontent-typedeblah/blah, le téléchargement commencera automatiquementcarpet_bomb.cgichaque fois qu'il est servi. Si vous utilisez Safari sous Windows, voici ce qui arrivera à votre bureau une fois que vous visiterez http://malicious.example.com/:L'implication de ceci est évidente: des logiciels malveillants sont téléchargés sur le bureau de l'utilisateur sans le consentement de l'utilisateur.
Apple ne pense pas que ce soit un problème auquel il souhaite s'attaquer pour le moment.
Dans mon dernier e-mail adressé à Apple, j'ai suggéré d'incorporer une option dans Safari afin que le navigateur puisse être configuré pour demander à l'utilisateur avant que quoi que ce soit ne soit téléchargé sur le système de fichiers local. Apple a reconnu que c'était une bonne suggestion:
...la possibilité d'avoir une préférence sur "Me demander avant de télécharger quoi que ce soit" est une bonne suggestion. Nous pouvons déposer cela comme une demande d'amélioration pour l'équipe Safari. Veuillez noter que nous ne traitons pas cela comme un problème de sécurité, mais comme une mesure supplémentaire visant à élever la barre contre les téléchargements indésirables. Cela nécessitera un examen avec l’équipe de l’interface humaine. Nous souhaitons vous faire savoir que cela pourrait prendre un certain temps, si jamais cela est incorporé.
[merci à BK have-it-your-way Rios pour avoir suggéré le terme « Carpet Bomb » pour décrire ce problème].
Espérons qu'Apple ajoute au moins la suggestion mentionnée par Nitesh. Je considère cela comme un problème de sécurité majeur. À moins que je ne me trompe, quelqu'un pourrait créer un logiciel malveillant, l'appeler « Poste de travail », lui attribuer une icône qui ressemble à l'icône « Poste de travail » et le répandre partout sur le bureau de quelqu'un. Je suppose que plus de quelques personnes double-cliqueraient dessus, ce qui en ferait un problème sérieux.
Cliquez sur Lire la suite ci-dessous pour lire le reste...
Nitesh continue:
2. Sandbox non appliqué aux ressources locales. Ce problème est plus une demande d’ensemble de fonctionnalités qu’une vulnérabilité. Par exemple, Internet Explorer avertit les utilisateurs lorsqu'une ressource locale telle qu'un fichier HTML tente d'appeler un script côté client. Je pense qu'il s'agit d'une fonctionnalité de sécurité importante en raison des attentes des utilisateurs: même les utilisateurs les plus avertis font la différence entre le risque de cliquer sur un exécutable qu'ils ont téléchargé (risque perçu comme plus élevé) ou cliquer sur un fichier HTML qu'ils ont téléchargé (risque perçu comme étant plus élevé) inférieur).
La réponse d'Apple a été positive: ...nous avons étudié la possibilité d'un mode "sécurisé" pour le HTML local. Il s’agit d’un domaine qui nécessite une enquête assez approfondie pour résoudre les problèmes de compatibilité et déterminer le bon fonctionnement. Veuillez comprendre que lorsque nous qualifions cela de mesure de renforcement de la sécurité, nous ne négligeons pas les avantages que cela pourrait avoir.
Ok, avec celui-ci, je suis satisfait de la réponse d'Apple et je suis d'accord avec son plan d'action.
3. [Non dévoilé]. Le troisième problème que j'ai signalé à Apple est une vulnérabilité à haut risque dans Safari qui peut être utilisée pour voler à distance des fichiers locaux du système de fichiers de l'utilisateur. Apple a répondu positivement et m'a fait savoir qu'ils travaillaient activement pour résoudre le problème et publier un correctif. Je publierai une mise à jour si j'ai de leurs nouvelles.
Je tiens à remercier l'équipe de sécurité d'Apple pour ses réponses rapides et pour m'avoir permis de discuter de ces problèmes avec la communauté de la sécurité.
La position d'Apple sur certaines de ces questions est préoccupante. Pour l'instant, je renonce à mes recherches sur Mac OS X car j'ai peur que Nitesh ne mette en panne ma box.
-Nate.