Depuis pas moins de 18 ans, les hackers pouvaient théoriquement exploiter une faille de sécurité contenue dans plusieurs navigateurs de tout premier ordre, dont Chrome, Firefox ou encore Safari. Mais pour les pirates aussi, toutes les bonnes choses ont une fin : Apple a en effet annoncé avoir comblé cette vieille faille, sur son navigateur Safari, et ce avec la dernière bêta de macOS 15 Sequoia.
Loin d’être bénigne, cette brèche dans la sécurité de Safari permettait aux pirates d’accéder, par exemple, à des réseaux privés de particuliers et d’entreprises, les laissant ainsi accéder à des données qui auraient dû rester confidentielles, souligne BGR. Un mode opératoire mis en lumière par les chercheurs en sécurité de la startup israélienne Oligo.
« 0.0.0.0 » une requête mal gérée par certains navigateurs
Dans le détail, cette faille est liée à la manière dont les navigateurs gèrent les requêtes envoyées à une adresse IP « 0.0.0.0 ». Safari et les autres navigateurs gèrent tous les requêtes vers cette adresse « 0.0.0.0 » de la même façon : en les redirigeant vers d’autres adresses IP, y compris le serveur « localhost », régulièrement utilisé pour tester du code en cours de développement. En tirant parti de cette spécificité, il n’y a qu’un pas à franchir pour accéder à des données censées être confidentielles.
« Du code utilisé par les développeurs, ou encore des messageries internes sont de bons exemples d’informations accessibles immédiatement » avec cette technique, indiquait par exemple l’un des chercheurs d’Oligo, interrogé par Forbes. « Mais surtout, l’exploitation de cette faille peut permettre à l’attaquant d’accéder au réseau privé interne de la victime, ce qui ouvre un large éventail de vecteurs d’attaque ».
Quoi qu’il en soit, ladite faille vit désormais ses dernières heures, du moins sur Safari. Apple a effectivement confirmé qu’avec la bêta de macOS 15 Sequoia, les requêtes visant l’adresse « 0.0.0.0 » seront automatiquement bloquées sur son navigateur. Précision importante : si ce correctif n’est pour l’instant disponible qu’avec macOS 15 Sequoia, Apple le déclinera à l’avenir sur la version 18 de Safari pour qu’il puisse bénéficier aux Mac non éligibles à la prochaine mouture de macOS.
On apprend en outre que Google est lui aussi en train de travailler au déploiement d’un correctif similaire sur Google Chrome. Attention en revanche, si vous utilisez Firefox, Mozilla n’ayant rien annoncé en ce sens dans l’immédiat.
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage Ă©tant opĂ©rĂ© par Disqus avec vos donnĂ©es qui pourront ĂȘtre utilisĂ©es pour les finalitĂ©s suivantes : vous permettre de visualiser et de partager des contenus avec des mĂ©dias sociaux, favoriser le dĂ©veloppement et l'amĂ©lioration des produits d'Humanoid et de ses partenaires, vous afficher des publicitĂ©s personnalisĂ©es par rapport Ă votre profil et activitĂ©, vous dĂ©finir un profil publicitaire personnalisĂ©, mesurer la performance des publicitĂ©s et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « Jâaccepte tout », vous consentez aux finalitĂ©s susmentionnĂ©es pour lâensemble des cookies et autres traceurs dĂ©posĂ©s par Humanoid et ses partenaires.
Vous gardez la possibilitĂ© de retirer votre consentement Ă tout moment. Pour plus dâinformations, nous vous invitons Ă prendre connaissance de notre Politique cookies.
GĂ©rer mes choix