Microsoft signale une faille dans Safari pour Windows

Microsoft a signalé une faille de sécurité sous Safari pour Windows permettant à un pirate d’exécuter du code à distance sur un ordinateur. Cette vulnérabilité permettrait à un pirate d’enregistrer des fichiers sur le bureau d’un utilisateur grâce à une faille du système de téléchargement Safari qui favorise l’exécution de code arbitraire.

« Pour l’heure, Microsoft n’a eu connaissance d’aucune attaque cherchant à exploiter cette menace », peut-on lire sur le bulletin de sécurité de Microsoft. « A l’issue de cette enquête, Microsoft prendra les mesures qui s’imposent pour protéger ses clients ».

« Nous pourrons par exemple fournir une solution via un service pack ou dans le cadre du processus de mise à jour mensuelle ou d’une mise à jour de sécurité exceptionnelle, en fonction des besoins des clients. «

Microsoft recommande aux utilisateurs d’éviter d’utiliser le navigateur ou de limiter sa capacité à télécharger des fichiers directement sur le bureau.
La vulnérabilité a été détectée par le testeur Nitesh Dhanjani et détaillée dans son blog.

« Il est possible pour un site Web malicieux d’infecter le bureau de l’utilisateur ou le répertoire Downloads (~/Downloads/ dans OSX) », écrit-il. Cela est possible car le navigateur Safari ne peut pas être configuré pour obtenir l’autorisation de l’utilisateur avant de télécharger une ressource. Safari télécharge la ressource sans l’accord de l’utilisateur et le place dans l’emplacement par défaut (ou autre s’il a été modifié). »

Traduction de l’article Microsoft warns of Safari for Windows hole de Vnunet.com en date du 5 juin 2008