Deux vulnérabilités dangereuses de Safari mettent les utilisateurs du navigateur d'Apple en danger et n'ont pas encore été corrigées
Une équipe de chercheurs a trouvé deux vulnérabilités dangereuses dans le navigateur Safari qui n'ont pas encore été corrigées par Apple. Les failles ont été découvertes lors de la Tianfu Cup en Chine, une compétition de piratage où les experts en sécurité gagnent des prix pour avoir trouvé des bogues et des vulnérabilités pouvant être exploités par des pirates.
Dans le cadre de la compétition, Apple a demandé aux participants d'identifier d'éventuelles failles dans le navigateur Safari fonctionnant sur un MacBook Pro 13 pouces et un iPhone 11 Pro avec un système d'exploitation mis à jour vers iOS 14. L'équipe qui a découvert les exploits potentiellement dangereux pour la sécurité a remporté un prix de 420 000 dollars et a donné à Apple des instructions pour développer des correctifs de sécurité. Actuellement, la société basée à Cupertino travaille à la correction des deux vulnérabilités qui exposent ses utilisateurs à des attaques de pirates malveillants.
Safari, les deux vulnérabilités découvertes lors du concours
Les équipes participant au concours de la Tianfu Cup ont enquêté sur les failles de sécurité du navigateur Safari d'Apple, en se concentrant sur une URL distante qui pourrait permettre aux attaquants de contrôler le navigateur ou le périphérique MacBook Pro avec une attaque RCE, ou exécution de code à distance, offrant 40 000 dollars à ceux qui réussissent. Si, en plus d'une attaque RCE, l'équipe était en mesure d'exécuter une fuite de sandbox, le prix passait à 60 000 $.
Pour ce qui est de l'analyse de sécurité Safari sur l'iPhone 11 Pro exécutant iOS 14, les équipes étaient mises au défi d'essayer de mettre en œuvre des attaques RCE tout en contournant l'atténuation PAC, avec les prix suivants pour la réussite : 120 $.120 000 dollars pour une attaque RCE, 180 000 dollars en ajoutant une fuite de sandbox, et enfin 300 000 dollars pour un jailbreak à distance.
Apple travaille sur les vulnérabilités à corriger
Deux vulnérabilités majeures ont été mises en évidence par la Tianfu Cup pour Apple, mais les détails sur le type d'exploits n'ont pas été divulgués. Seule la société de Cupertino a reçu des informations détaillées de la part des équipes de sécurité sur le type de faille à corriger, et les développeurs travaillent désormais sur les correctifs à diffuser dans une nouvelle mise à jour pour éliminer le problème.