Ab April 8th, 2015, Apple veröffentlichte seine jüngste Runde von Patches, die auch ein Cookie Verwundbarkeit behoben, die in allen Versionen von Safari bestanden und insgesamt eine Milliarde Geräte betroffen sein könnte.
Das Cookie-Vulnerability
Jouko Pynnönen der finnischen Firma Klikki Oy ist der Forscher, der zuerst den Cookie Fluss entdeckt und berichtet es an Apple im Januar 27. Laut ihm, der Fluss ist ein Ergebnis davon, wie Safari seines früheres FTP-URL-Schema behandelt.
In seinem Blogeintrag er erklärte, „Ein Angreifer könnte Web-Inhalte erstellen die, wenn sie von einem Ziel-Benutzer betrachtet, umgeht einige der normalen Cross-Domain-Beschränkungen gehören, HTTP-Cookies auf einer Website zuzugreifen oder zu ändern.“
Er hat auch hinzugefügt, „Die meisten Websites, die Benutzer ermöglichen Anmeldungen speichern ihre Authentifizierungsinformationen (in der Regel Sitzungsschlüssel) in Cookies. Der Zugang zu diesen Cookies erlauben würde Hijacking authentifizierte Sitzungen. Cookies können auch andere sensible Informationen enthalten.“
Außerdem, Angreifer können normale Webseiten gefährden einfach durch einen Iframe auf eine FTP-URL verknüpft Einbetten.
Betroffene Versionen von iOS
Pynnönen könnte das Cookie Fehler nicht testen auf alle Versionen, aber er berichtete, dass die Verwundbarkeit meisten Safari-Versionen betroffen: Safari 7.0.4 auf OS X 10.9.3; Safari auf dem iPhone 3GS, iOS 6.1.6; Safari auf iOS 8.1 Simulator, und Safari 5.1.7 unter Windows 8.1.
Wie Angriffe dieser Art zu vermeiden
Nach Pynnönen, „Ein Weg, solche Angriffe zu stoppen (z.B.. für ältere Geräte ohne verfügbar Patch) wäre die gesamten Verkehr auf das öffentliche Internet zu verweigern und das Gerät konfigurieren, um einen HTTP-Proxy im internen Netzwerk zu verwenden,. Dies sollte den Zugriff auf alle FTP-URLs verhindern. „