Nisan itibariyle 8inci, 2015, Apple ayrıca Safari'nin tüm sürümlerinde varolan ve bir milyar cihazların toplam etkilemiş olabilecek bir çerez açığını sabit yamaların en son turda yayınlandı.
Kurabiye Güvenlik Açığı
Fin firması Klikki Oy Jouko Pynnönen ilk Ocak'ta Apple'a çerez akışını keşfetti ve rapor araştırmacı 27. Ona göre, Akış Safari önceki FTP URL şemasını ele nasıl bir sonucudur.
Cuaron Blog yazısı açıkladı, “Saldırgan web içeriği oluşturmak hangi, Bir hedef kullanıcı tarafından bakıldığında, Normal etki alanları arası kısıtlamaların bazılarını erişmek veya herhangi bir web sitesine ait HTTP çerezleri değiştirmek için atlar.”
O da eklendi, “İzin Çoğu web siteleri kullanıcı girişlerini kendi kimlik bilgilerini saklamak (Genellikle oturum anahtarları) çerezleri. Bu çerezler erişim kaçırma doğrulanmış oturumları izin verecek. Çerezler aynı zamanda diğer hassas bilgiler içerebilir.”
Ek olarak, saldırgan kolaylıkla bir FTP URL'ye bağlanan bir iframe gömerek, normal web sayfalarını tehlikeye atabilir.
iOS Etkilenen sürümleri
Tüm kurar üzerinde Pynnönen çerez hata deneyemedim, ama o açığı en Safari sürümlerini etkilediğini bildirdi: Safari 7.0.4 OS X 10.9.3; iPhone 3GS Safari, iOS 6.1.6; iOS üzerinde Safari 8.1 simülatör, ve Safari 5.1.7 Windows üzerinde 8.1.
Bu tür saldırılara kaçının nasıl
Pynnönen göre, “Tek yönlü bu tür saldırıları durdurmak için (ör. Hiçbir kullanılabilir yama ile eski cihazlar için) Kamu internete tüm trafiği engellemek ve iç ağda bulunan bir HTTP proxy kullanacak şekilde yapılandırmak olacaktır. Bu, tüm FTP URL'lere erişimi engellemek olmalıdır. “