از بین رفتن آسیب های سافاری در سیستم جدید اپل

   
نام نویسنده:
|
دسته بندی:
|
  هفته گذشته اپل را تحت فشار قرار دادند که کوکی های آسیب پذیری در تمام نسخه های سافاری ios , osx و ویندوز وجود دارد.  محققان معتقدند تعداد دستگاهایی که این مشکل را دارند ممکن است به یک میلیارد برسد. در حال حاضر این موضوع در وب کیت یک آسیب فنی است به این معنی که مهاجم می تواند محتوای وب را هنگامی که کاربر آن را باز می کند ببیند. پس از آن مهاجم می تواند در وب سایت کوکی HTTP را تغییر دهد.


براساس گفته جوکو پی نونن از شرکت فنلاندی کیلی کی اوی سافاری قبلا از طرح URL FTP خود استفاده کرده است. این شرکت اشکالات دیگری را هم در چند ماه گذشته پیدا کرده از جمله آسیب پذیری XSS ورد پرس. که این اخطاری برای شرکت اپل در 27 ژانویه بود.مرورگر به اسناد HTML  اجازه می دهد که URL هایی را نشان دهند که در ابتدای آن با FTP نشان داده شده است. مانند: رمز عبور : نام کاربری_ //:ftp با این حال در برخی از موارد URL می تواند از یک سایت مشخص آمده باشد نه یک سایت مهاجم.


سایت  ftp: user%40attacker.com%2Fexploit.html%23@apple.com بایدبه فایل apple.com مراجعه شود. اما وقتی که اشتباه خوانده شود توسط ورژن آسیب پذیر سافاری لود می شود.
این فایل از attacker.com لود می شود نه apple.com با این حال سند هایی مانند document.domain , document.cookie با استفاده از apple.com باز می شوند. شرکت پی نونن در تلاش است تا با استفاده از جاوا اسکریپ ، کوکی های مربوط به apple.com  را جدا کند.
در حالی که پی نونن نمی تواند این آسیب پذیری را در تمام ساختار ها امتحان کند اما در حال حاضر آن را در safari 7.0.4 on OS X 10.9.3,safari on iPhone 3GS, Ios 6.1.6, safari on an Ios 8.1 simulator, and safari 5.1.7 on windows 8.1  پیدا کرده است. کاربران با کلیک بر روی test sit می توانند راه اندازی این هفته را ببینند.
اپل با اضافه کردن (cue_2012_1126) آنچه باعث پیشرفت URL  شده بود را ثابت کرده است.  شرکت کوپرتینو اشکالات انگشت شماری را ثابت کرده که شامل حمله پروکسی در IOS و آسیب پذیری در OS X است که هفته گذشته با بروز رسانی، این شرکت را تحت فشار قرار دادند.

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید