Safari : une faille zero-day permet de prendre le contrôle total d’un Mac

Comme tout logiciel, les navigateurs web sont susceptibles de contenir des failles de sécurité. Les conséquences peuvent être plus ou moins graves. La dernière en date de Safari est gravissime.

Safari le navigateur web par défaut d’Apple. Il est proposé sur tous les appareils iOS et macOS. C’est un navigateur tout à fait décent mais malheureusement, aujourd’hui, pas le plus sécurisé. Ceci du moins si l’on en croit la démonstration faite par un expert en sécurité durant une conférence à Vancouver, au Canada.

Une faille zero-day découverte dans Safari

Selon la démonstration en question, deux failles ont été découvertes dans Safari. La première permet de s’échapper de la sandbox – l’environnement de confinement alloué au logiciel – dédiée, ce qui est déjà une mauvaise nouvelle en soi, mais la seconde est plus grave puisqu’elle permet au hacker d’obtenir un accès root et à un accès au kernel de la machine. Autrement, le chercheur peut en théorie avoir un contrôle total sur l’ordinateur.

Ce n’est pas la première fois que des hackers passent par Safari pour prendre le contrôle d’un Mac. En 2018, une faille zero-day permettait de contrôler la Touch Bar sur un ordinateur portable MacBook. La bonne nouvelle, ici, est que Apple est au courant de la première faille. Espérons qu’il le soit aussi de la seconde.

permet à un hacker de prendre le contrôle total de la machine

Nul doute que la firme de Cupertino proposera un correctif sous peu pour boucher ces deux failles. Aux dernières nouvelles, cette faille zero-day n’aurait fait aucune victime. Les chercheurs à l’origine de cette découverte, l’équipe phoenhex & qwerty, ont reçu une récompense de 45 000$. Si vous souhaitez en savoir davantage sur cette faille, rendez-vous sur le site ZDI.