Safari vulnérable au “phishing”… [MàJ]

ixus.net évoquait jeudi 28 une nouvelle faille de sécurité affectant les versions PC d’Internet Explorer et Oulook, laquelle en exploitant la difficulté d’Explorer à gérer correctement les URL dans les tableaux, donnerait la possibilité d’afficher un faux-lien dans le navigateur, afin d’ y amener l’internaute crédule : même la barre d’état du navigateur affiche une indication trompeuse de la destination du clic.
Le site donne une illustration concrète de la faille, avec un faux lien vers une fausse page Amazon, laquelle aurait aussi bien pu vous soutirer votre vrai numéro de carte bleue…

Les cas de “phising”, ces amorçages où un courriel ou un site usurpe l’identité d’un site institutionnel pour vous soutirer des informations sensibles, login/mot de passe ou numéro de carte de crédit, se multiplient en effet de façon importante.

Or le problème, c’est que la démonstration fonctionne aussi avec Safari, comme Claude nous l’a signalé. Nous avons essayé avec la version 1.2 (v125.9), et la barre de tâche est effectivement abusé par le “_target” incriminé, comme on le voit sur la capture d’écran… Un “copier l’adresse dans le presse-papier” est lui aussi blousé de la sorte, et il ne s’agit pas de Javascript…

Le pire, c’est qu’Internet Explorer 5.2 pour Mac OS X n’est absolument pas affecté, lui… Je dois avouer que je n’ai du coup pas eu le courage d’aller télécharger FireFox, qui vient d’ailleurs lui de corriger tout un sac de châtaignes (c’est la saison) si l’on en croit Clubic… Nous ne saurions trop vous inciter à la prudence en attendant, et de taper directement vos adresses ddans la barre prévue à cet effet (eh non, je n’ai pas dit “idoine” :langue)