Safariのオートフィル機能はデフォルトで有効になっており、ホワイトハウスセキュリティのCTO、ジェレミア・グロスマン(Jeremiah Grossman)は、フォームに気づいたときの姓名、職場、都市、州、電子メールアドレスなどの情報をブログに載せています。この情報は、Safariのローカルオペレーティングシステムのアドレス帳から取得されます。
特定のWebサイトにデータが入力されていなくても、データがフォームにダンプされ、ハッカーの機会が開かれます。あなたのWindows PCからマルウェアを削除するにはどうすればいいですか? "939" Safariからアドレス帳のカードデータを秘密裏に抽出するために悪意のあるWebサイトが必要とするのは、おそらく目に見えない名前のフォームテキストフィールドを動的に作成し、キーストロークイベントはJavaScriptを使用しています」とGrossman氏は書いています。 "データが入力されると、それはオートフィルされ、攻撃者にアクセスして送信することができます。 '
攻撃の概念実証コードはSecTheoryのCEO Robert Hansenのブログに掲載されています。
何らかの理由で、数字で始まるデータはテキストフィールドに入力されず、取得できません。 "しかし、このような攻撃は、簡単かつ安価に大量に配布することができますGrossman氏は次のように述べています。「実際には、まだこれが行われていないという保証はありません」と彼は書いています。この脆弱性は非常に単純なものであり、他の誰かがそれを公に報告していなければならないと思っていたが、徹底的な検索といくつかの同僚に何も言わなかった」と述べている。彼はまだ個別の返事を受け取っていません。これを避けるには
[email protected]にニュースのヒントやコメントを送る