Safari : cette faille corrigée par Apple était peut-être plus vieille que vous

18 ans dans la nature...

 
Une faille de sécurité vieille de 18 ans a été corrigée par Apple sur Safari. Cette dernière n’est toutefois comblée, à ce stade, qu’au travers de la dernière bêta de macOS 15 Sequoia.
Le logo du navigateur Safari // Source : Mariia Shalabaieva via Unsplash

Depuis pas moins de 18 ans, les hackers pouvaient théoriquement exploiter une faille de sécurité contenue dans plusieurs navigateurs de tout premier ordre, dont Chrome, Firefox ou encore Safari. Mais pour les pirates aussi, toutes les bonnes choses ont une fin : Apple a en effet annoncé avoir comblé cette vieille faille, sur son navigateur Safari, et ce avec la dernière bêta de macOS 15 Sequoia.

Loin d’être bénigne, cette brèche dans la sécurité de Safari permettait aux pirates d’accéder, par exemple, à des réseaux privés de particuliers et d’entreprises, les laissant ainsi accéder à des données qui auraient dû rester confidentielles, souligne BGR. Un mode opératoire mis en lumière par les chercheurs en sécurité de la startup israélienne Oligo.

« 0.0.0.0 » une requête mal gérée par certains navigateurs

Dans le détail, cette faille est liée à la manière dont les navigateurs gèrent les requêtes envoyées à une adresse IP « 0.0.0.0 ». Safari et les autres navigateurs gèrent tous les requêtes vers cette adresse « 0.0.0.0 » de la même façon : en les redirigeant vers d’autres adresses IP, y compris le serveur « localhost », régulièrement utilisé pour tester du code en cours de développement. En tirant parti de cette spécificité, il n’y a qu’un pas à franchir pour accéder à des données censées être confidentielles.

« Du code utilisé par les développeurs, ou encore des messageries internes sont de bons exemples d’informations accessibles immédiatement » avec cette technique, indiquait par exemple l’un des chercheurs d’Oligo, interrogé par Forbes. « Mais surtout, l’exploitation de cette faille peut permettre à l’attaquant d’accéder au réseau privé interne de la victime, ce qui ouvre un large éventail de vecteurs d’attaque ».

Logo d'Apple sur un bâtiment
Source : Yue Iris / Unsplash

Quoi qu’il en soit, ladite faille vit désormais ses dernières heures, du moins sur Safari. Apple a effectivement confirmé qu’avec la bêta de macOS 15 Sequoia, les requêtes visant l’adresse « 0.0.0.0 » seront automatiquement bloquées sur son navigateur. Précision importante : si ce correctif n’est pour l’instant disponible qu’avec macOS 15 Sequoia, Apple le déclinera à l’avenir sur la version 18 de Safari pour qu’il puisse bénéficier aux Mac non éligibles à la prochaine mouture de macOS.

On apprend en outre que Google est lui aussi en train de travailler au déploiement d’un correctif similaire sur Google Chrome. Attention en revanche, si vous utilisez Firefox, Mozilla n’ayant rien annoncé en ce sens dans l’immédiat.


Chaque matin, WhatsApp s’anime avec les dernières nouvelles tech. Rejoignez notre canal Frandroid pour ne rien manquer !

Les derniers articles