Уязвимость в Safari может повлиять на работу миллиарда устройств Apple

image

Теги: уязвимость, брешь, Safari

Доступ к cookie-файлам обеспечит мошенникам похищение авторизованных сессий пользователей.

Глава безопасности финской компании Klikki Oy Йоуко Пиннонен (Jouko Pynnönen) обнаружил  теперь уже исправленную уязвимость  CVE-2015-1126 , которая может повлиять на работу миллиарда устройств Apple. Пиннонен сообщил, что кросс-доменная брешь в файлах передачи URL-схем в Safari позволяет злоумышленникам изменять HTTP cookie-файлы web-сайта и загружать документы с вредоносных ресурсов.

В большинстве испытанных версий Safari для iOS, OS X и Windows была найдена данная уязвимость. Число пораженных устройств может доходить до миллиарда. Брешь выявлена в Safari для iOS 8.1, 6.1.6, версиях Safari 7.0.4 и 5.1.7 для OS X 10.9.3 и Windows 8.1.

Доступ к cookie-файлам обеспечит мошенникам похищение авторизованных сессий пользователей. Ссылки в виде 'ftp://user:password@host/path' являются проблематичными, когда поле с паролем или логином включает в себя специальные закодированные символы. Злоумышленники могут манипулировать URL для того, чтобы жертвы загружали документы с подконтрольных мошенникам сайтов.

Для успешного осуществления кибератаки используются JavaScript и фреймы, встроенные в web-страницу. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.