Le premier problème, nommé "Carpet Bomb", concerne Safari.
Le chercheur Nitesh Dhanjani (connu également pour sa récente intervention à la Blackhat) a, depuis plusieurs semaines, mis en garde les utilisateurs du navigateur d’Apple [1]. En effet, le téléchargement de fichiers non interprétables par le navigateur (dll, exécutables, fichiers compressés…), est réalisé de manière automatique sous Safari. Ainsi, lorsqu’un utilisateur clique sur un fichier, Safari l’enregistre automatiquement sur le bureau de l’utilisateur sans aucune confirmation préalable (contrairement aux autres navigateurs).

Ce problème de sécurité ne constitue pas une faille de sécurité à part entière, cependant couplée à une seconde vulnérabilité, cette attaque pourrait s’avérer dramatique...

Quelques jours plus tard, on retrouvait un commentaire [2] précisant qu’une vulnérabilité avait été découverte dans Internet Explorer et serait adapté à l’exploitation de l’attaque décrite par M.Dhanjani.
Ce second problème, lié à Internet Explorer permet d’exécuter automatiquement certaines librairies (sqmapi.dll, imageres.dll et schannel.dll) stockées sur le Bureau lors du lancement du navigateur.

Suite à la publication de Microsoft [3] alertant sur une possible exécution de code avec Safari, un internaute publie, le 10 juin, une preuve de concept permettant d’exploiter la vulnérabilité d’Internet Explorer.

L’attaque est donc aujourd’hui pleinement exploitable sur un système implémentant les deux navigateurs et pourrait avoir des conséquences dramatiques...

Le scénario d’attaque est simple.
En utilisant une balise iframe sur une page contrôlée par le pirate, ce dernier peut forcer un utilisateur naviguant avec Safari, à télécharger sur son bureau, une librairie DLL malicieuse (schannel.dll).

Code de la page web malicieuse :

html
iframesrc="schannel.dll"width=1height=1 height=1></iframe
/html

Lors de la prochaine exécution d’Internet Explorer, le navigateur va automatiquement charger et exécuter le code contenu dans la librairie malicieuse.

Exemple d’un code d’une libraire DLL malicieuse :

#include<windows.h>

BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved)

STARTUPINFO si ;
PROCESS_INFORMATION pi ;
TCHAR windir[_MAX_PATH] ;
TCHAR cmd[ _MAX_PATH ] ;
GetEnvironmentVariable("WINDIR",windir,_MAX_PATH ) ;
wsprintf(cmd,"%s\system32\calc.exe",windir) ;
ZeroMemory(&si,sizeof(si)) ;
si.cb = sizeof(si) ;
ZeroMemory(?,sizeof(pi)) ;
CreateProcess(NULL,cmd,NULL,NULL,FALSE,0,NULL,NULL,&si, ?) ;
CloseHandle(pi.hProcess) ;
CloseHandle(pi.hThread) ;
return TRUE ;

Le code ci-dessus, compilé sous le nom "schannel.dll" permet de lancer la calculatrice de Windows.

Ces vulnérabilités pourraient donc être à l’origine de nombreuses attaques, car Microsoft n’a toujours pas corrigé ce problème. De son côté, Apple a pris note de la remarque de M. Dhanjani et a jugé ce problème de la manière suivante :

...the ability to have a preference to "Ask me
beforedownloadinganything" is a good suggestion. Wecan file that as an enhancementrequest for the Safari team. Please note thatwe are not treatingthis as a security issue, but a furthermeasure to raise the bar againstunwanteddownloads...

En attendant les correctifs adéquats, nous vous conseillons de ne pas utiliser conjointement Safari et Internet Explorer et de ne jamais télécharger de fichiers DLL lors de vos navigations avec Internet Explorer.

[1] http://www.oreillynet.com/onlamp/blog/2008/05/safari_carpet_bomb.html
[2] http://aviv.raffon.net/2008/05/31/SafariPwnsInternetExplorer.aspx
[3] http://www.microsoft.com/technet/security/advisory/953818.mspx