Лабораторията на Касперски откри критична уязвимост в браузъра Safari, експлоатацията на която може да открадне потребителски идентификационни данни. Според изследователите недостатъкът засяга plist файлове, където данните се съхраняват некриптирани.
Както знаете, потребителят на Safari може да възстанови предишна сесия, тоест браузърът ви позволява да отваряте сайтовете, които е посетил, преди да приключи сесията, и дори автоматично да влиза в тях.
Вячеслав Закоржевски, експерт в Лабораторията на Касперски, обясни, че браузърът запазва информация за завършената сесия, за да я възстанови, ако е необходимо. Естествено, данните трябва да се съхраняват на място, което няма да бъде достъпно за никого, освен това трябва да бъдат криптирани.
Що се отнася до Safari, браузърът на Apple съхранява информация за последната сесия, включително идентификационни данни за упълномощаване в интернет ресурси, в некриптирана форма в plist файл в публичното достояние, така че всеки може да използва тази информация.
Закоржевски каза, че подобно съхранение на поверителни данни е катастрофална дупка, тъй като киберпрестъпниците могат лесно да ги откраднат. Експертът отбеляза, че понастоящем Kaspersky Lab не е намерил инструменти за използване на тази уязвимост, но те могат да се появят по всяко време.
Припомняме, че сесията за възстановяване е внедрена в Safari 6.0.5 за версии на OS X не е по-ниска от 10.7.5.
Вижте също:
- Основните признаци, че телефонът ви се подслушва.
- Сирийската електронна армия създаде троянски кон за Mac.
- Тайните на личния живот вече не съществуват - мнението на Юджийн Касперски.
- Изтеглете актуализирания Firefox за Mac OS X, Windows, Linux и Android.
- Jailbreak iOS 7. Pod2g отрича кражбата на експлоата.
