BlogA Safari böngésző egy súlyos biztonsági hiányosságáról blogolt Jeremiah Grossman, a WhiteHat Security vezetője. A szakember azt állítja, hogy egy, az inkriminált böngészőt futtató felhasználó személyes adatait (pl. nevét, munkahelyét, e-mail címét) bizonyos körülmények közt akkor is meg tudja szerezni, ha ezen információkat a felhasználó sosem adta meg böngészés közben. A támadáshoz videós illusztráció is fellelhető. Mindezt az teszi lehetővé, hogy az automatikus kiegészítés nevű funkciót illetően a Safari igyekszik egy lépéssel a felhasználó előtt járni. A böngésző megpróbálja az adatokat a felhasználó közreműködése nélkül, az operációs rendszer címjegyzékéből előállítani. Ha a felhasználó egy fertőzött honlapra téved, és az adatok ki vannak töltve az éppen aktív felhasználói fiókhoz, a támadó máris hozzájutott azokhoz. A blogbejegyzéshez beküldött kommentek közt böngészve kiderül, hogy egy sok szempontból hasonlatos támadást már 2009. áprilisában kifejlesztettek. Nem lehetünk benne biztosak tehát, hogy a máig befoltozatlannak tűnő rést nem aknázták már ki… Némi bizakodásra adhat azonban okot, hogy a kommentek tanúsága szerint több felhasználónál nem működik a támadás a Safari 5-ös verziójával. Megjegyzendő továbbá, hogy azok a felhasználók, akik nem használják az automata kitöltés funkciót, védettek a módszer ellen. A támadás érdekessége egyébként, hogy közelebb hoz egy unalomig elcsépelt filmes klisét a valósághoz, méghozzá azt, amikor a főhős hacker által munkába állított program karakterenként töri fel az adminisztrátori jelszót. |