ایتنا- یكی از تهدیدات بالقوه آسیب پذیری موجود در سافاری آن است كه یك كاربر یا برنامه خرابكار حتی با یك حساب كاربری غیر مجاز می تواند به اعتبارنامه های ورود به سایت كاربر دسترسی یابد.
شنبه ۲۳ آذر ۱۳۹۲ ساعت ۱۳:۵۱
كشف آسیب پذیری در مرورگر سافاری
محققان كسپراسكای دریافتند كه مرورگر وب سافاری اپل بر روی OS X اطلاعات نشست از جمله نام كاربری و رمز عبور را در یك فایل متنی XML ساده ذخیره می كند و این فایل برای هر كاربری قابل خواندن است.
به گزارش ایتنا از مرکز ماهر، مانند بسیاری از مرورگرها، سافاری می تواند اطلاعات موقعیت و حالت صفحه وب باز شده را ذخیره می كند و زمانی كه كاربر مرورگر را دوباره راه اندازی می كند این صفحات به طور خودكار باز می شوند.
با توجه به اظهارات محققان كسپراسكای، سافاری اطلاعات نشست كاربر را در فایلی با نام LastSession.plist ذخیره می كند. این فایل در یك دایركتوری مخفی قرار دارد اما دسترسی به آن محدودیتی ندارد.
محتویات این فایل رمزگذاری نیستند حتی اگر از نشست HTTPS استفاده شده باشد.
شركت كسپراسكای اعلام كرد كه كه این مشكل در سافاری نسخه ۶.۰.۵ بر روی OS X نسخه های ۱۰.۸.۵ و ۱۰.۷.۵ وجود دارد.
یكی از تهدیدات بالقوه این مشكل آن است كه یك كاربر یا برنامه خرابكار حتی با یك حساب كاربری غیر مجاز می تواند به اعتبارنامه های ورود به سایت كاربر دسترسی یابد. شركت كسپراسكای در خصوص این مشكل به شركت اپل اطلاع داده است اما هم چنان پاسخی را دریافت نكرده است.
کد مطلب: 28782
