В Safari обнаружена очередная уязвимость

22

В Safari обнаружена очередная уязвимость

Вчера в мобильной версии браузера Safari была обнаружена уязвимость, которая позволяет вредоносным сайтам публиковать URL, отличающийся от реального адреса ресурса. Такая уловка дает злоумышленникам возможность получать личные данные о пользователях.

Проблема, впервые обнаруженная компанией в сфере компьютерной безопасности Major Security, состоит в ошибке, которая связана с тем, как мобильное приложение Safari от компании Apple в операционной системе iOS 5.1 обрабатывает адреса URL при использовании метода Javascript «window.open()». Такой метод может эксплуатироваться вредоносными сайтами для отображения подложных URL.

«Эту уязвимость можно использовать для введения в заблуждение пользователей с целью получения у них конфиденциальной личной информации, – рассказывают специалисты Major Security. – В результате информация, отображаемая в адресной строке, может быть изменена, что заставит пользователей поверить в то, что они посещают не тот сайт, на котором на самом деле находятся»

Данный эксплойт был протестирован на iPhone 4, iPhone 4S, iPad 2 и новом iPad с iOS 5.1, вследствие чего выяснилось, что уязвимости подвержены все мобильные устройства Apple с новейшей операционной системой. Чтобы проверить наличие этой проблемы, пользователи могут самостоятельно пройти по этой ссылке. После того как пользователь нажимает на кнопку «demo» на тестовой странице, Safari откроет окошко, где в адресной строке написано: http://www.apple.com. Тем не менее, в действительности этот адрес не принадлежит сайту компании Apple, а относится к URL, привязанному к одному из серверов Major Security.

Первоначально такая уязвимость была обнаружена в iOS 5.0 и в марте вновь появилась в iOS 5.1. Еще 1 марта Apple была осведомлена о такой проблеме, после чего 20 марта опубликовала рекомендацию для пользователей. Никакой заплатки до сих пор выпущено не было, однако ее выход ожидается в ближайшем будущем.

Источник: AppleInsider.com

22 комментария

  1. 0
    Красавец

    Дождались!

  2. 0
    Сергей

    Блин.. Дак а делать то чего ?

  3. 0
    Mardi))..

    Кому-то не сидится… Конечно, надо же пользователей apple отказаться от их продукции!!…. Оставьте нас в покое… У каждого есть выбор!!..
    (отправлено из приложения AppleInsider.ru)

    • 0
      Детектор

      Mardi)).., Mardi
      Вас никто не заставляет отказываться, и плевать на «ваш выбор», если есть уязвимость мошенники будут ей пользоваться и совершенно все равно какое у вас устройство.

      А в покое вас не оставят никогда потому что пользователи яблочной продукции привыкли тратить деньги.

  4. 0

    Гугл ведет базу по фейковым адресам. Надо Яблоку с ними договариваться. Хотя в Safari 2.0 данная фича уже работает.

    • 0

      beekay, Или проверять по цифровой подписи. Происходит подмена собственного сайта — а мобильная Safari ни гу-гу. Позорище!

  5. 0
    Вадим

    Все кароче надо Касперского ставить на iPhone 😉
    (отправлено из приложения AppleInsider.ru)

  6. 0
    Сирожа

    Решето

  7. 0
    Артём

    Мошенники знают с кого деньги драть. Андро владельцы посмеялись бы над этой новостью)

    • 0

      Артём, у андровладельцев не ОС, а решето. там таких дыр полным полно, а тут нашли одну и раздули из мухи слона. пофиксят ведь в ближайшее время

  8. 0

    Попробовал, действительно fail
    (отправлено из приложения AppleInsider.ru)

  9. 0

    Просмотрел только что 5 сайтов андроидофилов. Либо комментов самих андроидофилов в обзорах нет, либо яблочников там не увидел. Что здесь, что на ixbt на яблочной ветке андроидофилы набегают и начинают нещадно постить всяческую злобу.
    Господа андроидофилы! Погуглите! Для вас сайтов очень много. Что вы все время на яблочные сайты лезете не по профилю? Я лично клянусь, что на ваши тематические сайты заходить в жизнь не буду, троллить вас там не буду. Да что за беда-то такая, что все к яблочникам лезут и троллят до бесконечности?

    • 0

      beekay, Полностью с вами согласен…просто есть нормальные люди, а есть те кому на одном месте не сидится, им лишь бы побольше говна написать. Я не хочу кого-то обидеть, такие люди есть и среди поклонников яблочной продукции и среди адроид-сообщества…как говорится в семье не без урода.

  10. 0
    Герасим

    «которая позволяет вредоносным сайтам публиковать URL, отличающийся от реального адреса ресурса. »

    Слушайте, вот что вам помешало написать понятным языком что-то типа «которая позволяет вредоносным сайтам подменять URL в адресной строке браузера»? Переводили слово-в-слово, да? Ну маладцы, чо!
    (отправлено из приложения AppleInsider.ru)

  11. 0
    Герасим

    Кстати, на Планете Ипхоне так и написали, по-русски т.е. Гг.
    (отправлено из приложения AppleInsider.ru)

  12. 0
    pchela812

    А вы не обратили внимание что на iphone значок 4G?

  13. 0
    Андрей

    Мне нравится сметься над тобой!

Авторизуйтесь Чтобы оставить комментарий