Hijacking Safari 4 Top Sites with Phish Bombs

Inferno de SecureThoughts.com a rapporté une vulnérabilité dans le navigateur Internet Safari 4 de Apple. Cette vulnérabilité assez particulière et unique exploite les fonctionnalitées “Top Sites” et “Cover Flow” introduitent dans Safari 4.

La fonctionnalité “Top Sites” fournit une vue graphique des sites web favoris de l’utilisateur final, permettant ainsi d’accéder rapidement aux sites que l’on accède le plus souvent, comme par exemple eBay, Amazon, Facebook, Gmail, etc.

La vulnérabilité consiste à placer des sites malveillant, par exemple des sites de phishing, dans “Top Sites”, et cette vulnérabilité est exploitable tous simplement en surfant sur Internet, et en cliquant sur un lien malveillant. Un code Javascript basic sera alors exécuté dans une petite fenêtre afin de simuler des navigations répétées sur ces sites web malveillant afin que ceux-ci apparaissent comme populaires. La fenêtre en cause est totalement invisible par le biais de la fonction javascript “window.blur” et l’utilisateur final n’a aucune connaissance de l’attaque en cours.

L’exploit est vraiment basic et il est vraiment regrettable que Apple ne prenne pas la peine d’étudier et de tester au préalable toutes les éventuelles vulnérabilités de ces nouvelles fonctionnalités ou produits. Apple, stp, ne devient pas comme Adobe sad.gif

[youtube iQuUTz1XAZw]