Safari : la cristallisation stendhalienne du Fuzzing
La notoriété d'un navigateur, notamment dans le monde du hack blanc ou noir, dépend essentiellement de son existence dans le monde Windows. La récente annonce du portage de Safari dans l'environnement Microsoft a immédiatement été saluée par une série de publications de failles et de « preuves de faisabilité » ou indices de fragilité divers. A commencer par une incompatibilité d'humeur entre Safari et Hamachi, découverte par Aviv Raffon, suivi d'un PoC (preuve de faisabilité) relativement tiré par les cheveux découvert par Thor Larholm. Un Larholm qui, rappelons-le, publiait en début de mois un autre PoC visant Firefox et utilisant la « faille toolbar Soghoian ». Thor Larholm était, en 2003/2004, l'un des chasseurs de failles les plus prolifique dans la sphère I.E. et Windows. Il tenait à jour un calendrier des trous non-comblés qui fit réagir avec virulence les avocats de Microsoft. Après une période d'accalmie, le chercheur semble renouer avec ses amours premières, en évitant toutefois d'égratigner les programmes conçus du coté de Seattle. Fermons le ban avec une autre avalanche de « trous Safari », mais cette fois sous OS/X, signés David Maynor -cela n'a rien d'étonnant, puisque cet homme est plus ou moins le catalyseur du « Month of Apple Bug » , oeuvre de Kevin Finistere et LMH. Si le portage de Safari est une bonne opération stratégique de la part d'Apple et marque une étape dans l'ouverture concurrentielle des outils Internet sous Windows, c'est, d'un point de vue sécurité, un risque tactique important. Contrairement à ce qui se pratique au sein de la Mozilla Foundation, la publication des correctifs Apple n'est réputée ni pour sa rapidité, ni pour sa transparence. Un argument qui n'échappera certainement pas à tous ceux qui espèrent exploiter les futurs trous de sécurité qui ne manqueront pas d'être découverts. Alors, bientôt un « Month of Safari Bug » ? La chasse aux fauves est ouverte.
