Une faille de sécurité présente dans Safari et dans Chrome a été exploitée dans le courant de l’été pour faire du malvertising, c’est-à-dire distribuer des malwalres en passant par les publicités en ligne.

Plus d’un milliard de publicités malveillantes ont été diffusées au cours des six dernières semaines. Elles contenaient un code qui redirigeait les utilisateurs vulnérables vers des sites malveillants, selon la société de sécurité Confiant. La faille était présente sur iOS et macOS pour Safari et uniquement iOS pour Chrome.

C’est l’éditeur eGobbler qui a exploité la faille (référencée CVE-2019-8771). Elle existait dans une fonction JavaScript (onkeydown event) qui a lieu à chaque fois qu’un utilisateur appuie sur une touche du clavier. La vulnérabilité a permis aux publicités présentes dans les balises HTML des sites d’échapper à la sandbox et donc d’initier une redirection, sans demande l’accord de l’utilisateur au préalable.

Confiant indique avoir contacté Apple et Google le 7 août dernier pour les prévenir de la faille. Elle a été corrigée auprès du public avec iOS 13 et Safari 13.0.1, dont la sortie a eu lieu le mois dernier. Il est précisé que les publicités malveillantes ont surtout été diffusées en Europe.