Une faille de sécurité dans Safari a été révélée hier par Jeremiah Grossman de Whitehat Security dans son blog. Par son intermédiaire, un script malveillant peut obtenir des informations personnelles du propriétaire de l’ordinateur, notamment son nom, son adresse et son adresse électronique.
La fonction de remplissage automatique de Safari est activée par défaut et évite à vos utilisateurs d’avoir à saisir vos données dans des formulaires qu’ils trouvent sur le web. Mais un site web malveillant pourrait facilement créer des champs de texte invisibles (nom, société, ville, état et courriel, par exemple) et, à l’aide de JavaScript, simuler la pression d’une touche. En allant de A à Z, tôt ou tard, la fonction de remplissage automatique complétera le champ avec les données du propriétaire de l’ordinateur.
Heureusement, au moins les champs initiés par des numéros (tels que les numéros de téléphone) pour une raison quelconque ne peuvent pas être volés par ce type d’attaque.
Selon Grossman, les Safari 4 et 5 sont tous deux susceptibles de subir ce type d’attaque. Je ne sais pas pour vous, mais j’ai déjà décoché l’option de remplissage automatique sur mon Safari. Juste au cas où.
