Мир: Уязвимость в Safari может повлиять на работу миллиарда устройств Apple

10

Глава безопасности финской компании Klikki Oy Йоуко Пиннонен (Jouko Pynnonen) обнаружил теперь уже исправленную уязвимость CVE-2015-1126, которая может повлиять на работу миллиарда устройств Apple. Пиннонен сообщил, что кросс-доменная брешь в файлах передачи URL-схем в Safari позволяет злоумышленникам изменять HTTP cookie-файлы web-сайта и загружать документы с вредоносных ресурсов.


В большинстве испытанных версий Safari для iOS, OS X и Windows была найдена данная уязвимость. Число пораженных устройств может доходить до миллиарда. Брешь выявлена в Safari для iOS 8.1, 6.1.6, версиях Safari 7.0.4 и 5.1.7 для OS X 10.9.3 и Windows 8.1. Доступ к cookie-файлам обеспечит мошенникам похищение авторизованных сессий пользователей. Ссылки в виде ‘ftp://user:password@host/path’ являются проблематичными, когда поле с паролем или логином включает в себя специальные закодированные символы. Злоумышленники могут манипулировать URL для того, чтобы жертвы загружали документы с подконтрольных мошенникам сайтов. Для успешного осуществления кибератаки используются JavaScript и фреймы, встроенные в web-страницу. (Apple/NovostIT)