UA RU
logo
19 Jan 2022

Apple исправит уязвимость в Safari, которая выдает личные данные

Apple готовится исправить ошибку в Safari 15, которая показывает, когда и что делал пользователь в сети. Об ошибке компании сообщили еще 28 ноября прошлого года. Редакция MC.today рассказывает подробности.


Что случилось

На этой неделе исследователи компании FingerprintJS рассказали об уязвимости браузере Safari 15. Так специалисты хотели обратить внимание компании на ошибку, о которой сообщили еще в ноябре.

В Apple наконец отреагировали. В компании говорят, что готовы исправить ошибку, но исправление не будет доступно, пока не выйдут обновления macOS Monterey, iOS 15 и iPadOS 15 с новой версией Safari.

Как действует уязвимость

Уязвимость есть на всех Mac, iPhone и iPad. Она связана с интерфейсом прикладного программирования (IPO) Apple IndexedDB. Он использует данные пользователя в браузере и разрешает сохранять эту информацию сайтам.

Главный принцип IndexedDB – одинаковый источник (same-origin policy). Это значит, что информацию пользователя может видеть только тот сайт, который ее получил. Если пользователь открывает вкладку с личными данными, а потом открывает сайт с вирусом, IndexedDB не дает ему эти данные получить. Но в Safari 15 этот принцип не работает.

Курс
Для новичков в ІТ
Получи востребованную профессию и работу в IT компании. Онлайн обучение с помесячной оплатой за курс
РЕГИСТРИРУЙТЕСЬ!

Когда на сайт заходят в Safari 15, создается новая (пустая) база данных с тем же именем во всех других активных фреймах, вкладках и окнах во время одного сеанса браузера. Так другие сайты могут получать информацию о том, что делал пользователь в сети.

Недавно уязвимость нашли и в Microsoft Defender. Как и другие антивирусы, он позволяет выбирать, какие пути он не должен сканировать, и создать отдельный список таких исключений. Уязвимость позволяет свободно просматривать этот список.

Уязвимость опасна тем, что в папке из списка исключений злоумышленники могут разместить вредоносное ПО, которое поможет им получить информацию пользователя и доступ к его аккаунтам.

Уязвимость в Microsoft Defender есть уже восемь лет. Она также распространяется на новые версии ОС – Windows 10 21H1 и Windows 10 21H2.

По теме:

Новости

Спецпроекты

Ваша жалоба отправлена модератору

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: