Оставьте заявку
Наш эксперт свяжется с вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой конфиденциальности
Обнаружена уязвимость в браузерах Safari 15
Любопытная и потенциально опасная уязвимость была недавно обнаружена исследователями в системах безопасности браузеров устройств Apple для macOS, iOS и iPadOS. Уязвимость работает следующим образом: злоумышленник загружает вредоносный скрипт на сайт, данный сайт открывается пользователем в браузере, затем пользователь параллельно открывает в том же браузере вкладки других сайтов, к которым злоумышленник также получает доступ, включая любую информацию, которую пользователь указывал на данных ресурсах: данные банковских карт, электронных кошельков, личной переписки, учетных записей. Основной принцип – данные должны храниться в API IndexedDB (API-интерфейс браузера Safari, хранящий большой объем данных на стороне пользователя).
Помимо сайтов Google, исследователи FingerprintJS обнаружили, что пользователи по крайней мере 30 из 1000 самых посещаемых веб-сайтов Alexa Top 1000 также могут быть затронуты утечкой личных данных.
В чем суть уязвимости? Политика безопасности браузера позволяет сценариям, производимым на одной странице, получать доступ к данным другой страницы, но только в том случае, если они имеют один и тот же исходный внутренний сервер. Уязвимость позволяет обходить данное условие, создавая тем самым очень опасную лазейку для хакеров. Компания уже сообщила, что уязвимость «устранена», осталось только внедрить изменения с обновлением.
Как уязвимость могут использовать злоумышленники? Хакеры заставляют WebKit, движок браузера Safari 15, пропустить проверку источника, открыв тем самым доступ к данным API IndexedDB для любого сайта, который будет открыт параллельно с ним. И при этом со стороны пользователя не нужны никакие дополнительные действия кроме посещения зараженного веб-сайта в параллели с другими в рамках одной сессии.
Как защититься? До выхода официального обновления Apple рекомендуем пользователям Safari 15 сократить число одновременно используемых вкладок браузера до 1. Также внимательно проверяйте наименования сайтов при переходе по ссылке, чтобы по ошибке не перейти на фейк со всеми вытекающими последствиями.
Информация взята из статьи на ThreatPost.
Помимо сайтов Google, исследователи FingerprintJS обнаружили, что пользователи по крайней мере 30 из 1000 самых посещаемых веб-сайтов Alexa Top 1000 также могут быть затронуты утечкой личных данных.
В чем суть уязвимости? Политика безопасности браузера позволяет сценариям, производимым на одной странице, получать доступ к данным другой страницы, но только в том случае, если они имеют один и тот же исходный внутренний сервер. Уязвимость позволяет обходить данное условие, создавая тем самым очень опасную лазейку для хакеров. Компания уже сообщила, что уязвимость «устранена», осталось только внедрить изменения с обновлением.
Как уязвимость могут использовать злоумышленники? Хакеры заставляют WebKit, движок браузера Safari 15, пропустить проверку источника, открыв тем самым доступ к данным API IndexedDB для любого сайта, который будет открыт параллельно с ним. И при этом со стороны пользователя не нужны никакие дополнительные действия кроме посещения зараженного веб-сайта в параллели с другими в рамках одной сессии.
Как защититься? До выхода официального обновления Apple рекомендуем пользователям Safari 15 сократить число одновременно используемых вкладок браузера до 1. Также внимательно проверяйте наименования сайтов при переходе по ссылке, чтобы по ошибке не перейти на фейк со всеми вытекающими последствиями.
Информация взята из статьи на ThreatPost.
Другие материалы