Bezpečnostní chyba ohrožuje Safari

Bezpečnostní chyba ohrožuje Safari

Tím, že stránka přesvědčí uživatele, aby navštívil připravenou stránku, útočník může být schopen spustit nežádoucí kód. Nechte se ukolébat tím, že vás nikdo nepřesvědčí. Chybu lze zneužít i tak, že vám někdo pošle HTML kód v emailu. Pokud si jej pak prohlídnete v Safari přes webového emailového klienta, dílo je dokonáno. Kód, který tuto chybu zneužívá je již veřejně přístupný. Prozatím jediným řešením je vypnutí JavaScriptu v předvolbách Safari.

Server Secunia považuje chybu za velmi kritickou. V popisu chyby dále píše:

1) Práce s oknem může způsobit, že funkce bude volat špatný ukazatel. To pak může způsobit spuštění nežádoucího kódu, pokud uživatel navštíví speciálně upravenou stránku a zavře otevřená pop-up okna.

2) Další bezpečnostní chyba je způsobena tím, že Safari do požadavků odesílaných při přesměrování na jinou doménu vkládá informace o HTTP authentifikaci, která byla původně odesílána jinam. Příkladem může být, vyplnění formuláře s heslem pro přihlášení k administračnímu rozhraní. Pokud po odeslání požadavku je uživatel přesměrován na jinou stránku (např. pomocí hlavičky "Location"), Safari odešle jméno a heslo i na stránku, kde byl uživatel přesměrován.

Chyba byla potvrzena u Safari 4.0.5 u Windows, ale pravděpodobně budou zasaženy i další verze Safari. Chybu nahlásili Krystian Kloskowski a Vin Lisciandro. Charlieho Millera prý kontaktoval server computerworld, aby ověřila zda chyba existuje i na Macovi. Ten však nebyl v kanceláři.

Jsme zvědavý, kdy se objeví záplata na tuto chybu. Chyba byla oficiálně publikovaná serverem Secunia 7. května 2010. Od té doby běží Apple čas pro nápravu této chyby.

Poslat Bezpečnostní chyba ohrožuje Safari na facebook
Publikováno 11.5.2010
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License