Une faille critique a été découvert dans le navigateur web Safari d’Apple qui permet de conduire les utilisateurs de Safari vers un site malveillant à la place d’un site de confiance.


Cette vulnérabilité pourrait être exploitée par des pirates pour lancer des attaques de phishing très crédibles ou détourner les comptes des utilisateurs sur un site Web.

Le faille a été découvert par le chercheur en sécurité David Leo, qui a publié une preuve de concept. Leo a pu démontré qu’il était possible de laisser croire à l’utilisateur qu’il surfait bien sur le véritable site DailyMail.co.uk alors qu’il ne s’agissait que d’une page « écran ».  Il croit ainsi surfer sur le DailyMail.co.uk, mais dans les faits il affiche une page qui n’a rien à voir même si c’est bien l’URL du quotidien britannique qui s’affiche dans la barre d’adresses.

faille-safari

Exploitée par de mauvaises mains, un pirate pourrait utiliser un site de banque au lieu de site Daily Mail, puis injecter une page de phishing demandant à l’utilisateur ses codes bancaires.

L’exploit a été testé avec succès sur un MacBook Pro sous OS mise à jour X 10.10.3 et Safari 8.0.6, ainsi que sur un iPhone 5S avec iOS 8.3.

Source