Safari : le carpet bombing, plus virulent sous Windows

Divulguée le 15 mai dernier, la faille de sécurité dite "carpet bombing" qui affecte Safari fait à nouveau parler d'elle. Tirant partie du fait que Safari ne demande pas d'accord explicite de l'utilisateur pour télécharger un fichier, cette faille permet à un site malicieux, via un script CGI, de littéralement bombarder l'utilisateur de fichiers téléchargés.

Apple, qui travaille à un correctif (sans doute une option à cocher), a dans un premier temps minimisé la chose, expliquant que la nouvelle option ne viserait qu'à empêcher des téléchargements non désirés mais qu'il n'y avait pas là de véritable faille de sécurité. Au pire, l'utilisateur efface les fichiers téléchargés sans son accord. Point barre.

On serait bien tenté de leur donner raison... Mais sur Mac Os X seulement. Sur Windows, en effet, cette lacune, combinée à un bug non corrigé d'Internet Explorer (qui interpénètre tout Windows), permet d'exécuter automatiquement ces programmes. Et là, les vrais ennuis peuvent commencer.... Le bug concernant Explorer a été signalé il y a un an, une semaine pour celui de Safari.

La réponse de Microsoft est tout simple : n'utilisez pas Safari. Ben tiens.

Source