Quatre nouveaux correctifs pour Safari pour Windows

Apple vient de publier une seconde mise à jour de sécurité pour son navigateur Safari pour Windows, moins de deux semaines après son lancement. Les quatre correctifs récemment publiés s’inscrivent dans le cadre du lancement de la version bêta Safari 3.0.2 pour Mac OS X et Windows. Les deux packs contiennent des correctifs de stabilité en plus de la mise à jour de sécurité.

Sur Windows, seules l’une de ces quatre vulnérabilités permet l’exécution de code à distance. Cette faille se situe au niveau du composant WebKit utilisé par Safari. Elle peut être exploitée par un pirate pour lancer un « exploit » en orientant l’utilisateur vers une page Web contenant du code malveillant. La page peut ensuite provoquer une défaillance de l’application et donner au pirate la possibilité d’installer des programmes malveillants sur l’ordinateur cible.

Deux des vulnérabilités exposent les utilisateurs à un risque d’attaque CSS (cross-site scripting). Une vulnérabilité permet aux pirates de lancer des attaques CSS en utilisant un code JavaScript spécialement conçu pour rediriger l’utilisateur ; une autre permet d’exécuter des attaques CSS via une requête HTTP malformée, codée dans une page Web. La quatrième vulnérabilité permet à un pirate de modifier de manière arbitraire les informations apparaissant dans la barre d’URL. Un pirate peut exploiter cette faille pour faire apparaître un site malveillant avec l’URL d’un site fiable.

Les utilisateurs de Mac pourront obtenir deux failles de sécurité dans la mise à jour de Safari. Les vulnérabilités au niveau du WebKit et de l’injection HTTP affectent aussi bien les versions OS X que Windows.

Les mises à jour contiennent également des correctifs de stabilité pour 16  » bogues » de performance et de stabilité sous Windows et neuf sous OS X.

Traduction d’un article de Vnunet.com en date du 25 juin 2007