Недавно мы рассказывали о дыре в браузере Safari, которая могла стать лазейкой для похищения личной информации пользователей. Делалось это «благодаря» функции автозаполнения полей. С помощью этой дыры можно было получить такие данные из списка контактов пользователя, как имя и фамилию, адрес электронной почты, название компании или адрес проживания.
В реализации функции есть проблема, которая позволяет вредоносным сайтам вызывать автозаполнение без ведома пользователя. Это может привести к похищению информации из контактов пользователя.
Впервые дыру продемонстрировал Джереми Гроссман (Jeremiah Grossman) из WhiteHat Security, который и сообщил Apple о ней. И Safari 4, и Safari 5 имели это слабое место.
Вместе с недавней Safari 5.0.1 вышла и Safari 4.1.1 для Mac OS X 10.4 Tiger. В обоих обновлениях дыра была, наконец, заделана. Кроме того, в них исправлена и другая ошибка, которая позволяла вредоносным RSS отправлять файлы с компьютера пользователя на сервер злоумышленников.
8 комментариев