Очень серьезная дыра в безопасности все еще существует в Safari, как заявляет WhiteHat Security. Им удалось выяснить, что на сайтах, где Safari использует функцию автозаполнения полей, браузер автоматически заполняет некоторые поля данными из адресной книги. Это происходит даже если человек никогда не был на этой странице. Создав вредоносный сайт с «правильными» полями, а затем, симулировав нажатия клавиш с помощью JavaScript, у злоумышленника появится возможность собирать личную информацию без ведома жертвы.
Эксплоит был проверен на тестовом коде, и, как сообщается, данные были «украдены» в считанные секунды. Некоторые, знающие об этой угрозе, говорят, что он она существует уже несколько лет. Apple была осведомлена о дыре в июне, но в ответ пришло только сообщение «автоответчика». На второе письмо ответа вовсе не последовало.
Проблема не нова для Safari, но Safari 5 вышел совсем недавно и по-прежнему хранит ее, как память. Даже Internet Explorer 6 не имеет такого эксплоита. Пока единственным способом обезопасить себя является отключение функции автозаполнения.
Источник:
