सफारी एक्सप्लॉइट एड्रेस बुक डेटा को ऑटोफिल के माध्यम से आसानी से चोरी करने की अनुमति देता है
यदि आप अपने मुख्य वेब ब्राउज़र के रूप में सफारी का उपयोग करते हैं, तो आप अपनी प्राथमिकताएं खोलना चाहते हैं, ऑटोफिल पर स्विच कर सकते हैं और वेब फॉर्मों का उपयोग करके ऑटोफिल के विकल्प को अनचेक कर सकते हैं। आपके एड्रेस बुक कार्ड से जानकारी: सफारी में एक गंभीर भेद्यता वेबसाइटों को बिना किसी उपयोगकर्ता इनपुट के आपकी पता पुस्तिका से जानकारी चुराने की अनुमति देती है सब।
शोषण की खोज की थी यिर्मयाह ग्रॉसमैन. यहां देखिए यह कैसे काम करता है:
सभी दुर्भावनापूर्ण वेबसाइट को सफारी से एड्रेस बुक कार्ड डेटा को गुप्त रूप से निकालने के लिए गतिशील रूप से करना होगा उपरोक्त नामों के साथ फॉर्म टेक्स्ट फ़ील्ड बनाएं, शायद अदृश्य रूप से, और फिर ए-जेड कीस्ट्रोक घटनाओं का उपयोग करके अनुकरण करें जावास्क्रिप्ट। जब डेटा पॉप्युलेट हो जाता है, यानी ऑटोफिल्ड, इसे एक्सेस किया जा सकता है और हमलावर को भेजा जा सकता है ...
जैसा कि में दिखाया गया है प्रूफ-ऑफ-कॉन्सेप्ट कोड... पूरी प्रक्रिया में मात्र कुछ सेकंड लगते हैं और यह ऑनलाइन गोपनीयता में एक बड़े उल्लंघन का प्रतिनिधित्व करता है। ईमेल स्पैम, (भाला) फ़िशिंग सहित बहुस्तरीय हमलों में इस हमले का और अधिक लाभ उठाया जा सकता है, आपत्तिजनक ऑनलाइन सामग्री पर जाने के दौरान किसी उपयोगकर्ता के गुमनाम होने पर पीछा करना और यहां तक कि ब्लैकमेल करना।
ग्रॉसमैन ने एक महीने पहले ऐप्पल के ध्यान में शोषण को प्रस्तुत किया, लेकिन मामले के बारे में एक गैर-स्वचालित प्रतिक्रिया प्राप्त करने में विफल रहने के बाद इसे प्रचारित करने का निर्णय लिया।
अभी के लिए, घबराने की जरूरत नहीं है, बस ऑटोफिल को तब तक बंद रखें जब तक कि Apple ठीक न हो जाए।
[के जरिए मैक का पंथ]