Depuis pas moins de 18 ans, les hackers pouvaient théoriquement exploiter une faille de sécurité contenue dans plusieurs navigateurs de tout premier ordre, dont Chrome, Firefox ou encore Safari. Mais pour les pirates aussi, toutes les bonnes choses ont une fin : Apple a en effet annoncé avoir comblé cette vieille faille, sur son navigateur Safari, et ce avec la dernière bêta de macOS 15 Sequoia.
Loin d’être bénigne, cette brèche dans la sécurité de Safari permettait aux pirates d’accéder, par exemple, à des réseaux privés de particuliers et d’entreprises, les laissant ainsi accéder à des données qui auraient dû rester confidentielles, souligne BGR. Un mode opératoire mis en lumière par les chercheurs en sécurité de la startup israélienne Oligo.
« 0.0.0.0 » une requête mal gérée par certains navigateurs
Dans le détail, cette faille est liée à la manière dont les navigateurs gèrent les requêtes envoyées à une adresse IP « 0.0.0.0 ». Safari et les autres navigateurs gèrent tous les requêtes vers cette adresse « 0.0.0.0 » de la même façon : en les redirigeant vers d’autres adresses IP, y compris le serveur « localhost », régulièrement utilisé pour tester du code en cours de développement. En tirant parti de cette spécificité, il n’y a qu’un pas à franchir pour accéder à des données censées être confidentielles.
« Du code utilisé par les développeurs, ou encore des messageries internes sont de bons exemples d’informations accessibles immédiatement » avec cette technique, indiquait par exemple l’un des chercheurs d’Oligo, interrogé par Forbes. « Mais surtout, l’exploitation de cette faille peut permettre à l’attaquant d’accéder au réseau privé interne de la victime, ce qui ouvre un large éventail de vecteurs d’attaque ».
Quoi qu’il en soit, ladite faille vit désormais ses dernières heures, du moins sur Safari. Apple a effectivement confirmé qu’avec la bêta de macOS 15 Sequoia, les requêtes visant l’adresse « 0.0.0.0 » seront automatiquement bloquées sur son navigateur. Précision importante : si ce correctif n’est pour l’instant disponible qu’avec macOS 15 Sequoia, Apple le déclinera à l’avenir sur la version 18 de Safari pour qu’il puisse bénéficier aux Mac non éligibles à la prochaine mouture de macOS.
On apprend en outre que Google est lui aussi en train de travailler au déploiement d’un correctif similaire sur Google Chrome. Attention en revanche, si vous utilisez Firefox, Mozilla n’ayant rien annoncé en ce sens dans l’immédiat.
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix