В Safari обнаружена очередная уязвимость

Вчера в мобильной версии браузера Safari была обнаружена уязвимость, которая позволяет вредоносным сайтам публиковать URL, отличающийся от реального адреса ресурса. Такая уловка дает злоумышленникам возможность получать личные данные о пользователях.

Проблема, впервые обнаруженная компанией в сфере компьютерной безопасности Major Security, состоит в ошибке, которая связана с тем, как мобильное приложение Safari от компании Apple в операционной системе iOS 5.1 обрабатывает адреса URL при использовании метода Javascript «window.open()». Такой метод может эксплуатироваться вредоносными сайтами для отображения подложных URL.

«Эту уязвимость можно использовать для введения в заблуждение пользователей с целью получения у них конфиденциальной личной информации, – рассказывают специалисты Major Security. – В результате информация, отображаемая в адресной строке, может быть изменена, что заставит пользователей поверить в то, что они посещают не тот сайт, на котором на самом деле находятся»

Данный эксплойт был протестирован на iPhone 4, iPhone 4S, iPad 2 и новом iPad с iOS 5.1, вследствие чего выяснилось, что уязвимости подвержены все мобильные устройства Apple с новейшей операционной системой. Чтобы проверить наличие этой проблемы, пользователи могут самостоятельно пройти по этой ссылке. После того как пользователь нажимает на кнопку «demo» на тестовой странице, Safari откроет окошко, где в адресной строке написано: https://www.apple.com. Тем не менее, в действительности этот адрес не принадлежит сайту компании Apple, а относится к URL, привязанному к одному из серверов Major Security.

Первоначально такая уязвимость была обнаружена в iOS 5.0 и в марте вновь появилась в iOS 5.1. Еще 1 марта Apple была осведомлена о такой проблеме, после чего 20 марта опубликовала рекомендацию для пользователей. Никакой заплатки до сих пор выпущено не было, однако ее выход ожидается в ближайшем будущем.

Источник: AppleInsider.com