Computers on Focus - Online Security Guide

09:03 am
08 December 2024

Apple med nya patchar för att åtgärda Cookie Säkerhetsproblem i Safari (2019)

Apple med nya patchar för att åtgärda Cookie Säkerhetsproblem i Safari (2019)

I april 8th, 2015, Apple släppte sin senaste omgången av patchar som också fast en cookie sårbarhet som fanns i alla versioner av Safari och kunde ha påverkat totalt en miljard enheter.

The Cookie Vulnerability

Jouko Pynnönen av det finländska företaget Klikki Oy är forskaren som först upptäckte cookie flödet och rapporterade det till Apple i januari 27. Enligt honom, flödet är ett resultat av hur Safari hanterade sin tidigare FTP webbadresschema.

I hans blogginlägg han förklarade, ”En angripare kan skapa webbinnehåll som, när den betraktas av en mål-användare, kringgår några av de normala begränsningar kors domän för att få tillgång till eller ändra HTTP cookies som hör till en webbplats.”

Han tillade också, ”De flesta webbplatser som tillåter användaren inloggningar lagra sina autentiseringsinformation (vanligtvis sessionsnycklar) i cookies. Tillgång till dessa cookies skulle tillåta kapning autentiserad sessioner. Cookies kan också innehålla annan känslig information.”

För övrigt, angripare kan äventyra normala webbsidor genom att helt enkelt bädda in en iframe kopplad till en FTP-URL.

Påverkade versioner av iOS

Pynnönen kunde inte testa cookie bugg på alla bygger, men han rapporterade att sårbarheten påverkas mest Safari versioner: Safari 7.0.4 på OS X 10.9.3; Safari på iPhone 3GS, iOS 6.1.6; Safari på iOS 8.1 simulator, och Safari 5.1.7 Windows 8.1.

Hur att undvika attacker av detta slag

Enligt Pynnönen, ”Ett sätt att stoppa sådana attacker (t.ex.. för äldre enheter utan tillgängliga patch) skulle vara att förneka all trafik till det publika Internet och konfigurera enheten att använda en HTTP-proxy som ligger i det interna nätverket. Detta bör förhindra åtkomst till alla FTP webbadresser. ”

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload the CAPTCHA.