A Safari böngésző egy súlyos biztonsági hiányosságáról blogolt Jeremiah Grossman, a WhiteHat Security vezetője. A szakember azt állítja, hogy egy, az inkriminált böngészőt futtató felhasználó személyes adatait (pl. nevét, munkahelyét, e-mail címét) bizonyos körülmények közt akkor is meg tudja szerezni, ha ezen információkat a felhasználó sosem adta meg böngészés közben. A támadáshoz videós illusztráció is fellelhető.

Mindezt az teszi lehetővé, hogy az automatikus kiegészítés nevű funkciót illetően a Safari igyekszik egy lépéssel a felhasználó előtt járni. A böngésző megpróbálja az adatokat a felhasználó közreműködése nélkül, az operációs rendszer címjegyzékéből előállítani. Ha a felhasználó egy fertőzött honlapra téved, és az adatok ki vannak töltve az éppen aktív felhasználói fiókhoz, a támadó máris hozzájutott azokhoz.

A blogbejegyzéshez beküldött kommentek közt böngészve kiderül, hogy egy sok szempontból hasonlatos támadást már 2009. áprilisában kifejlesztettek. Nem lehetünk benne biztosak tehát, hogy a máig befoltozatlannak tűnő rést nem aknázták már ki… Némi bizakodásra adhat azonban okot, hogy a kommentek tanúsága szerint több felhasználónál nem működik a támadás a Safari 5-ös verziójával. Megjegyzendő továbbá, hogy azok a felhasználók, akik nem használják az automata kitöltés funkciót, védettek a módszer ellen.

A támadás érdekessége egyébként, hogy közelebb hoz egy unalomig elcsépelt filmes klisét a valósághoz, méghozzá azt, amikor a főhős hacker által munkába állított program karakterenként töri fel az adminisztrátori jelszót. :) A módszer ugyanis úgy működik, hogy egy JavaScript nyelven írt program egy szövegmezőben rendre az A, B, C stb. betűk leütését szimulálja. A megfelelő karakter – vagyis kezdőbetű – „leütésekor″ az automatikus kitöltés aktiválódik, és az információ megjelenik a szövegmezőben. Kár, hogy könnyű elrontani a „moziélményt″, ha a támadó egy megfelelően megszerkesztett CSS stíluslap használatával láthatatlanná teszi a támadásra szolgáló szövegdobozt…

Permalink: https://www.pet-portal.eu/blog/read/314/2010-08-04-Elozmenylopas-gyorsitotarlopas-Kiegesziteslopas.p...

Forrás: Egy böngésző, ami önként kiadja adatainkat

Ajánló

• A hónap kérdése: új névjegyek a GMail címtárban, de honnan? (2010.08.21. 18:35:40)

Vissza

Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.

Új hozzászólás beküldése

Bárki hozzászólhat, nem regisztrált beküldő esetén egyik adat megadása sem kötelező - a hozzászólás akár névtelen is lehet.

Név:
E-mail:
Blog:
A BBCode egy egyszerű jelölő nyelv, amellyel a hozzászólásokat lehet formázni. Érvényes parancsok: bold: [b]Maecenas at nisl.[/b] italics: [i]Maecenas at nisl.[/i] underline: [u]Maecenas at nisl.[/u] url: [url]http://www.mysite.com[/url], [url=http://www.mysite.com]Maecenas at nisl.[/url] image: [img]http://www.mysite.com/mypic.png[/img] quote: [quote]Maecenas at nisl.[/quote] code: [code]Maecenas at nisl.[/code] size: [size=12]Maecenas at nisl.[/size] color: [color=#FF0000]Maecenas at nisl.[/color] Hozzászólok!