افتراضي الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة
صفحة 1 من اصل 1
افتراضي الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة
الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم
للسرقة
تم الإعلان عن وجود خلل أمني في التصميم في متصفح Safari للإصدارين 4.0 و
5.0 يسمح للمهاجم بالحصول على بيانات شخصية خاصة بالزائر مثل (الاسم،
العنوان،البريد الالكتروني، …)
المشكلة الأمنية تظهر في حال قيام مستخدم ما بزيارة موقع خبيث، حتى لو لم
يزره من قبل، ولم يدخل أي بيانات شخصية أيضاً، فيكون بمقدور الموقع كشف
اسمه الكامل، مكان العمل، المدينة، الولاية (في حال كونه في الولايات
المتحدة) بريده الالكتروني الشخصي!
يأتي متصفح Safari في الإصدارين 4.0 و 5.0 والذي يملك حوالي 4% من حصة
السوق (أي تقريباً 83 مليون مستخدم)، بميزة على المسار (Preferences >
AutoFill > AutoFill web forms) مفعّلة بشكل افتراضي.
هذه الميزة “AutoFill” تقوم بملء حقول الإدخال النصية في صفحات HTML والتي
تحمل خصائص معينة مثل name, company, city, state, country, email, الخ.
مثال:
يتم ملء هذه الحقول باستخدام بيانات من سجل المستخدمين الخاص في دفتر
العناوين الخاص بنظام التشغيل المستخدم ومن المهم التذكير بأن هذه الخاصة
تعمل حتى لو لم يقم المستخدم بإدخال مثل هذه البيانات من قبل لأنها مختلفة
عن ميزة الإكمال التلقائي والتي يقوم المتصفح بتذكر بعض ما قمت بإدخاله
مؤخراً في بعض حقول الإدخال النصية في المواقع التي تستخدمها.
كل ما يحتاج إلى القيام به أي موقع خبيث لاستخراج هذه المعلومات بمعاونة
متصفح Safari هو أن يقوم بإنشاء نموذج (Form) إدخال كالمثال الذي ذكرناه،
حتى لو بشكل مخفي، ومن ثم “محاكاة” نقرات المفاتيح ضمنها لإيهام المتصفح
بأن المستخدم هو من يقوم بالنقر على لوحة المفاتيح. عندما يتم جلب البيانات
والتي يتم ملؤها بشكل آلي، يصبح بإمكان المهاجم الوصول إليها من خلال
إرسالها دون علم المستخدم إلى العنوان الذي يحدده في النموذج
مواضيع مماثلة
» افتراضي الدوري الاسباني 2009-2010
» افتراضي إستضافة+منتدى + هاكات + استايل +الحماية ب$1.5
» افتراضي HTC تتخلى عن شاشات AMOLED لسبب واحد
» افتراضي إل جي تطرح الكمبيوتر الشبكي المصغّر LG X140
» افتراضي دوري أبطال أوروبا لكرة 2009-2010
» افتراضي إستضافة+منتدى + هاكات + استايل +الحماية ب$1.5
» افتراضي HTC تتخلى عن شاشات AMOLED لسبب واحد
» افتراضي إل جي تطرح الكمبيوتر الشبكي المصغّر LG X140
» افتراضي دوري أبطال أوروبا لكرة 2009-2010
صفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى