Apple med nye Patches Fix Cookie Sårbarhed i Safari (2019)

Apple med nye Patches Fix Cookie Sårbarhed i Safari (2019)

I april 8th, 2015, Apple frigivet sin seneste runde af patches, der også fast en cookie sårbarhed, der eksisterede i alle versioner af Safari og kunne have påvirket i alt en milliard enheder.

Den Cookie Sårbarhed

Jouko Pynnönen af ​​den finske virksomhed Klikki Oy er den forsker, der først opdagede cookie flow og rapporterede det til Apple i januar 27. Ifølge ham, flowet er et resultat af, hvordan Safari håndteret sin tidligere FTP URL-skema.

I hans blogindlæg han forklarede, ”En hacker kunne skabe web-indhold, som, når synlig målbrugeren, omgår nogle af de normale tværs af domæner restriktioner for at få adgang til eller ændre HTTP cookies, der tilhører enhver hjemmeside.”

Han tilføjede også, ”De fleste hjemmesider, som tillader bruger logins gemme deres oplysninger autentificering (normalt nøgler session) i cookies. Adgang til disse cookies ville tillade kapring autentificeret sessioner. Cookies kan også indeholde andre følsomme oplysninger.”

Desuden, angribere kan kompromittere normale websider simpelthen ved at indlejre en iframe er knyttet til en FTP-URL.

Påvirkede Versioner af iOS

Pynnönen kunne ikke teste cookie bug på alle bygger, men han rapporterede, at sårbarheden påvirkede de fleste Safari-versioner: Safari 7.0.4 på OS X 10.9.3; Safari på iPhone 3GS, iOS 6.1.6; Safari på iOS 8.1 simulator, og Safari 5.1.7 på Windows 8.1.

Hvordan man undgår angreb af denne art

Ifølge Pynnönen, ”En måde at stoppe sådanne angreb (f.eks. til ældre enheder med ingen tilgængelig plaster) ville være at benægte al trafik til det offentlige internet og konfigurere enheden til at bruge en HTTP-proxy beliggende i det interne netværk. Dette skulle forhindre adgang til alle FTP URL'er. ”

Efterlad et svar

Din email adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Time limit is exhausted. Please reload the CAPTCHA.