Обнаружена серьезная уязвимость в браузере Apple Safari


Mac OS XИсследователи по безопасности выявили в веб-браузере Apple Safari, входящем в состав настольной операционной системы OS X, "дыру", позволяющую злоумышленникам узнавать логины и пароли пользователей к различным веб-ресурсам.

Всем известно, что Safari, как и большинство современных браузеров, способны восстанавливать прошлую рабочую сессию и даже автоматически на них авторизоваться.

Всю информацию по посещениям (сессии), до закрытия браузера, последний сохраняет в легко доступном месте. При этом вся информация (включая пары логин-пароль для авторизации на посещаемых сайтах) сохраняется в незашифрованном виде в обычном plist-файле в свободном доступе. Что позволяет злоумышленникам легко добыть из него учетные данные пользователей.

Специалисты предполагают, что в скором времени появится вредоносное ПО, которое будет обращаться к этому файлу, эксплуатируя уязвимость.

Plist-file for open login end pass
Фрагмент plist-файла с открытыми логином и паролем

Функция восстановления сессии (Reopen All Windows from Last Session) работает в следующих версиях OS X и Safari:

  • OS X 10.8.5;
  • Safari 6.0.5 (8536.30.1);
  • OS X 10.7.5;
  • Safari 6.0.5 (7536.30.1).

Обновлено (16.12.2013 16:29)