La société spécialisée en sécurité Kaspersky Labs vient de publier la découverte d'une faille importante concernant les anciennes versions de Safari sous Mac OS X. Ce bug permet à une personne mal intentionnée d'accéder aux identifiants et mots de passe stockés par le navigateur.

La faille a été testée et reproduite avec succès sur la version 6.0.5 de Safari, aussi bien sous Mac OS X 10.8.5 (Mountain Lion) que Mac OS X 10.7.5 (Lion). Elle concerne le fichier « LastSession.plist », qui stocke toutes les informations relatives à votre dernière session, et qui est utilisé pour la fonction « rouvrir toutes les fenêtres de la dernière session ». Comme son nom l'indique, cette fonction permet de retrouver votre navigateur dans le même état que vous l'aviez fermé, sans même avoir à vous identifier à nouveau sur les sites qui le demanderaient. Le problème, c'est que les mots de passe sont stockés en clair dans ce fichier. Ainsi, si une personne parvient à mettre la main dessus, elle pourra voler les comptes de sa victime sans le moindre mal.

Si les risques représentés par cette faille sont donc grands, il n'est en revanche pas bien difficile de s'en protéger : il suffit déjà de ne pas utiliser la fonction concernée pour que la faille ne puisse pas être exploitée, mais surtout, la dernière version de Safari n'est pas vulnérable. Une mise à jour reste donc la meilleure solution.