Σήμερα, ένα νέο vulnerability "ανακαλύφθηκε". Το συγκεκριμένο vulnerability επικεντρώνεται στο πώς ο Safari σε iOS 5.1 μπορεί να εμφανίσει μια διαφορετική ιστοσελίδα με εκείνη της πραγματικής ιστοσελίδα που επισκέπτεστε
Ανακαλύφθηκε από τον David Vieira-Kurz των MajorSecurity και το σφάλμα εντοπίζεται στον τρόπο με τον οποίο ο Safari χειρίζεται την JavaScript window.open () μέθοδο, η οποία ανοίγει ένα νέο παράθυρο του browser. Αυτό θα μπορούσε ενδεχομένως να χρησιμοποιηθεί από μια κακόβουλη ιστοσελίδα για να ξεγελάσει τους χρήστες και να υποκλέψει ευαίσθητες πληροφορίες του από την συσκευή.
Το vulnerability συναντάται σε iPhone 4, iPhone 4S, iPad 2 και το νέο iPad έχοντας το iOS 5.1. Ως αποτέλεσμα, το Ολλανδικό Υπουργείο Ασφάλειας και Δικαιοσύνης έχει εκδώσει σχετική προειδοποίηση με αυτό.
Ο Viera-Kurz προσέφερε μια επίδειξη του κώδικα, οπότε αν έχετε μια από τις παραπάνω συσκευές σε iOS 5.1 και θέλετε ακολουθήστε τα παρακάτω:
1) Επισκεφθείτε από την συσκευή σας το majorsecurity.net/html5/ios51-demo.html μέσω του Safari
2) Πατήστε το "demo"
3) Ο Safari θα ανοίξει ένα νέο παράθυρο δείχνοντας σαν διεύθυνση "http://www.apple.com"
4) Ο Safari θα δείχνει "http://www.apple.com" το οποίο κάνει τον χρήστη να πιστεύει πως έχει επισκευθεί την ιστοσελίδα της Apple αλλά ακόμα είναι στην "κακόβουλη ιστοσελίδα"(στην προκειμένη περίπτωση, στην ιστοσελίδα της majorsecurity.net).
[via]
Τελευταία επεξεργασία από: nikoz87, 23/03/2012 - 02:41
