Apple corrige plusieurs failles critiques dans Safari

Apple vient de corriger quatre failles de sécurité dans Safari affectant les versions Mac OS X et Windows du navigateur. Les vulnérabilités vont d’une attaque CSS (cross-site scripting) à l’exécution de code à distance.

Pour les utilisateurs de Windows XP et Vista, la mise à jour corrige quatre failles. Deux des vulnérabilités, une erreur de débordement de mémoire dans le navigateur lui-même et un débordement de la mémoire tampon dans le composant JavaScript, peuvent être exploitées par un pirate pour installer et exécuter à distance des programmes malveillants sur un système cible.

Une autre faille du navigateur permettrait d’afficher une URL sans charger la page elle-même. Selon Apple, cette faille pourrait être exploitée par les pirates pour falsifier des sites légitimes en affichant des URL normales avec des pages Web modifiées. La quatrième vulnérabilité affecte le composant WebKit du navigateur. Un pirate pourrait utiliser une URL modifiée pour exploiter la vulnérabilité et lancer une attaque CSS.

Les utilisateurs Mac recevront une mise à jour pour deux des quatre failles corrigées. Apple a corrigé la faille JavaScript ainsi que la vulnérabilité CSS dans la version OS X du correctif Safari. Les utilisateurs peuvent télécharger la mise à jour de Safari via l’application Software Update d’Apple ou sur le site de téléchargement Safari.

Traduction de l’article Apple patches critical Safari holes de Vnunet.com en date du 18 avril 2008.