Apple korjasi kotimaisen Klikki Oy:n löytämän Safari-haavoittuvuuden

Kotimainen Klikki Oy löysi tammikuussa haavoittuvuuden Applen Safari-selaimesta. Haavoittuvuuden on arvioitu koskevan noin miljardia käyttäjää, sillä sama haavoittuvuus löytyi kaikkien eri alustoiden Safareista. Apple julkaisi haavoittuvuuden korjaavan päivityksen tässä kuussa.

Haavoittuvuus ilmeni Safarin FTP-url-protokollan tuessa, jolla voidaan ladata HTTP-dokumentteja FTP-osoitteista. Kun käyttäjä- tai salasanaosuudessa on käytetty merkkejä, jotka vaativat koodauksen (esimerkiksi ftp://user%40ftp.attacker.tld%2exploit.html%23@apple.com), tulkitsi Safari osoitteen viittaavan hyökkääjän sivulle eikä oikealle sivulle (tässä tapauksessa ftp://user@ftp.attacker.tld/exploit.html#apple.com/ ). Ladattavan dokumentin document.domain- ja document.cookie-ominaisuudet viittasivat edelleen apple.com-osoitteeseen. Tämän vuoksi hyökkääjän voi saada JavaScriptillä pääsyn apple.com-sivuston evästeisiin.

Klikki, Safari iOS/OS X/Windows evästehaavoittuvuus