В Safari найдена «катастрофическая дыра»
В веб-браузере Safari найдена лазейка, которая позволяет хакерам легко узнавать логины и пароли пользователей к различным сайтам, сообщает «Лаборатория Касперского». Safari, как и многие другие современные браузеры, умеет восстанавливать прошлую рабочую сессию. То есть пользователь, открыв свой браузер, путем простейших манипуляций может восстановить все открытые им в прошлую рабочую сессию сайты и даже автоматически на них авторизоваться.
«Для того чтобы браузер знал, на чем пользователь закончил прошлую сессию, эту информацию надо где-то сохранить. Очевидно, что это надо сделать в месте, которое не будет легко доступно кому угодно, и уж точно информация должна быть в зашифрованном виде», — рассказал эксперт «Лаборатории Касперского» Вячеслав Закоржевский.
Согласно исследованию эксперта, Safari хранит данные последней рабочей сессии (включая пары логин-пароль для авторизации на посещаемых сайтах) в незашифрованном виде в обычном plist-файле в свободном доступе. «Из него легко добыть учетные данные пользователей», — говорит Закоржевский.«Мы считаем, что хранение конфиденциальной информации в открытом виде с неограниченным доступом — это катастрофическая дыра в безопасности, позволяющая злоумышленникам беспрепятственно воровать пользовательские данные, затрачивая при этом минимум усилий. На данный момент мы не можем подтвердить или опровергнуть существование реального вредоносного кода, обращающегося к этому файлу. Но готовы биться об заклад, что такое ПО не заставит себя долго ждать», — добавил аналитик.
Функция восстановления сессии (Reopen All Windows from Last Session») работает в следующих версиях OS X и Safari: OS X 10.8.5, Safari 6.0.5 (8536.30.1), OS X 10.7.5, Safari 6.0.5 (7536.30.1).
via cnews.ru
© i-ekb