החל מחודש אפריל 8ה, 2015, אפל פרסמה עגול האחרון שלה של טלאים אשר גם קבעה פגיעות עוגיות שהיו קיימים בכל הגירסאות של ספארי יכלו להשפיע סך של התקנים ממיליארד.
פגיעות הקוקי
Jouko Pynnönen של החברה הפינית Klikki אוי הוא חוקר מי הראשון שגילה את זרימת עוגיה ודיווח על כך אפל בינואר 27. לפיו, התזרים הוא תוצאה של כמה ספארי טפל ערכת URL FTP הקודמת שלה.
בו פוסט בבלוג הוא הסביר, "תוקף יכול ליצור תוכן אינטרנט אשר, כאשר נצפים על ידי משתמש יעד, עוקף חלק מההגבלות המדומיינות הרגילות לגשת או לשנות עוגיות HTTP השייכים לכל אתר."
הוא גם הוסיף, "רוב האתרים המאפשרים כניסות משתמש לאחסן מידע האימות שלהם (בדרך כלל מפתחות הפעלה) ב עוגיות. גישה לעוגיות אלה תאפשר הפעלות מאומתות חטיפה. Cookies יכול להכיל גם מידע רגיש אחר."
בנוסף, תוקפים יכולים להתפשר לדפי אינטרנט רגילים, פשוט על ידי הטבעת iframe המקושר URL FTP.
גרסאות מושפעות של iOS
Pynnönen לא יכול לבדוק את הבאג עוגיה על כל בונה, אבל הוא דיווח כי הפגיעות מושפעות ברוב הגירסות ספארי: ספארי 7.0.4 על OS X 10.9.3; ספארי על iPhone 3GS, iOS 6.1.6; ספארי על iOS 8.1 סימולטור, ו- Safari 5.1.7 ב- Windows 8.1.
כיצד למנוע התקפות מסוג זה
לדברי Pynnönen, "דרך אחת לעצור התקפות כאלה (למשל. עבור מכשירים ישנים יותר ללא תיקון זמין) יהיה להכחיש כל תנועה לאינטרנט הציבורי ולהגדיר את המכשיר להשתמש בפרוקסי HTTP הממוקם ברשת הפנימית. זה אמור למנוע גישה לכל כתובות FTP. "