В среду, 6 мая, Apple выпустила обновления для браузера Safari, которые исправляют ряд уязвимостей в движке WebKit. Патчи предназначены для web-обозревателя в Mac OS X.
В Safari 8.0.6, Safari 7.1.6 и Safari 6.2.6 для OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 и OS X Yosemite v10.10.3 устранены три бреши, эксплуатация которых могла вызвать повреждение памяти. При посещении вредоносного сайта жертва могла столкнуться с внезапным завершением работы приложения или выполнением произвольного кода.
Уязвимость в WebKit History позволяла пользователям без соответствующих привилегий получать доступ к файловой системе. Посещение жертвой вредоносного сайта могло привести к компрометации пользовательской информации в файловой системе.
Брешь в WebKit Page Loading возникала из-за некорректной обработки атрибута rel элементов anchor, тогда у целевых объектов появлялся неавторизованный доступ к ссылкам. Посещение вредоносного сайта путем клика на ссылку могло привести к подмене интерфейса (спуфингу).
Новая уязвимость в браузере Safari позволяет перенаправлять пользователей на вредоносные сайты
Обнаруженная уязвимость позволяет злоумышленникам сделать так, чтобы пользователь, введя привычный адрес проверенного ресурса, оказался на вредоносном сайте, который постарается сразу же установить какой-то зловред, предназначенный для кражи личных данных и/или денег.
Deusen также продемонстрировала, как работает уязвимость, предложив пользователям Safari ввести посетить популярный сайт Daily Mail (dailymail.co.uk), при этом браузер отображает контент, размешенный по адресу deusen.co.uk. Это можно проверить как на iOS, так и на OS X.
Вместо Daily Mail хакеры вполне могут попробовать использовать сайт банка, в котором обслуживается пользователь, предложив ему ввести личные данные. Apple пока что не прокомментировала ситуацию.
В Safari обнаружена уязвимость, позволяющая осуществить подмену URL-адреса
Компания Deusen обнаружила уязвимость в браузере Apple Safari, позволяющую осуществить подмену (спуфинг) URL-адреса. Речь идет как о мобильной (iOS), так и настольной (OS X) версии интернет-обозревателя, сообщает эксперт по безопасности Пьерлуиджи Паганини.
Эксплуатация уязвимости позволяет злоумышленникам перенаправлять пользователей браузера на вредоносные web-сайты без их ведома, при этом адресная строка будет отображать именно тот ресурс, на который жертва хотела попасть. Опасность заключается в том, что ничего не подозревающий пользователь может оставить на таком «зеркале» важную конфиденциальную информацию, в том числе данные кредитной карты. Как пояснили исследователи, брешь может быть проэксплуатирована даже на полностью исправленных версиях iOS и OS X.
В качестве примера специалисты продемонстрировали специально созданную ими страницу, ведущую на официальный сайт их компании. В то время как в Google Chrome и других браузерах адресная строка показывает правильную информацию, то в Safari на iOS 8 и OS X Yosemite в ней значится адрес популярного издания The Daily Mail (dailymail.co.uk).
По мнению Паганини, эта уязвимость предоставляет злоумышленникам немало возможностей для осуществления фишинговых кампаний или перенаправления пользователей на ресурсы, содержащие вредоносное ПО.
Пользователи по всему миру начали жаловаться на неполадки, связанные с браузером Safari. Сбой подтвердили в том числе сотрудники издания The Verge, выяснившие, что программа внезапно прекращает работу при вводе поискового запроса в адресную строку. Браузер "вылетает" на всех доступных платформах, в том числе iOS и OS X.
По словам независимого iOS-разработчика Стивена Тротон-Смита, ошибка вызвана функцией поисковых подсказок Safari, которая не может соединиться с серверами Apple. В результате сбой затрагивает "любые i-устройства", включая устаревший iPhone 4 с iOS 7 и компьютеры Mac.
Пользователи, столкнувшиеся с неполадкой, могут исправить ее самостоятельно. В качестве временного решения Тротон-Смит предложил отключить функции "Предложения Safari" и "быстрого поиска веб-сайтов" в настройках браузерах, либо перейти в режим приватного просмотра.
Очередной баг обнаружился в Safari всего через пару месяцев после того, как владельцы "маков" были вынуждены переустановить программу из App Store по вине истекшего сертификата безопасности.
Достаточно неожиданно компания Apple выпустила специальную версию своего фирменного браузера Safari. Как отмечают купертиновцы, Safari Technology Preview ориентирован в первую очередь на разработчиков, тестировщиков и энтузиастов.
Те, кто решится установить Safari Technology Preview, будут получать доступ к новым функциям популярного браузера намного быстрее рядовых пользователей. Но за частые обновления и более широкие функциональные возможности придется платить наличием багов и нестабильной работой веб-обозревателя.
Примечательно, что запускать специальную версию яблочного браузера можно будет одновременно с обычной. По словам представителей Apple, это должно облегчить жизнь разработчикам и тестировщикам.
Скачать Safari Technology Preview можно на официальном сайте Apple в разделе для разработчиков.
Apple уличили в хранении удаленной истории просмотров браузера Safari
Очищая историю посещений в браузере, пользователи ждут, что данные будут навсегда удалены. Однако на днях выяснилось, что в случае c Safari это не совсем так. Специалисты исследовательской компании Elcomsoft обнаружили, что при активированной облачной синхронизации данных, история посещений со всеми метаданными оставалась на серверах Apple и хранилась в отдельной папке, недоступной пользователям.
Специалистам удалось получить доступ к одному из файлов, содержащему историю браузера. При этом на самом устройстве эти данные были удалены более года назад. Сотрудники Elcomsoft попытались получить у представителей Apple хоть какие-то комментарии. Однако купертиновцы оставили их вопросы без ответа.
Примечательно, что через некоторое время после обращения представителей Elcomsoft к Apple файлы с серверов полностью пропали. Есть предположение, что купертиновцы просто переместили их на отдельные сервера, закрыв любой внешний доступ.
Специалисты рекомендуют пользователям выключить синхронизацию с iCloud для браузера или же всех программ, чтобы защитить личные данные.
Safari имеет большую долю, чем Edge (у Microsoft серьезные проблемы?)
Microsoft запускала свой новый браузер Edge, как более быстрый, легкий и безопасный браузер, чем Internet Explorer.
Корпорация пытается довольно активно продвинуть его, сравнивая с популярными конкурентами в бенчмарках и тестах на время автономной работы.
Софтверный гигант использовал даже уведомления в Windows 10, чтобы убедить пользователей отказаться от Google Chrome в пользу Edge. Однако, последние данные StatCounter показывают печальную статистику, Edge занимает всего 3.89%, в то время, как даже Safari имеет долю в 5.15%.
Стоит напомнить, что Windows 10 установлена примерно на четверти всех компьютеров, в то время, как OS X по последним данным работает на 11.5% компьютеров. Пользователи все равно пока не хотят использовать Edge, а вот доля Chrome растет каждый день и сейчас составляет 63.23%. На втором месте идет Firefox с почти 14% рынка настольных браузеров.
Компания Apple выпустила обновление для мобильной и десктопной версий фирменного веб-обозревателя Safari. Очередной апдейт добавил в приложение полезную функцию, значительно снижающую возможности сайтов отслеживать дальнейшие переходы пользователя по глобальной сети. Ранее подобным уровнем конфиденциальности мог похвастаться лишь браузер Tor.
В представленном обновлении от 24 марта 2020 года Safari получил улучшенную функцию Intelligent Tracking Prevention (ITP), благодаря которой приложение блокирует файлы cookie на сайтах и предотвращает отслеживание пользовательских данных рекламодателям. По словам одного из инженеров WebKit Джона Виландера, отныне Safari по умолчанию действует таким образом, что ни один веб-сайт не сможет следить за пользователем во время сёрфинга.
Примечательно, что такое нововведение позволило Safari обойти функциональность Google Chrome практически на два года. Ранее Google сообщала, что планирует интегрировать функцию «антислежки» и сбора cookie в Chrome ориентировочно в 2022 году. Аналогичная возможность сейчас доступна в браузере Tor и частично — в продукте от соучредителя Mozilla под названием Brave.
Дата: Понедельник, 17.01.2022, 17:18 | Сообщение # 10
Генералиссимус
Группа: Проверенные
Сообщений: 6177
Статус: Оффлайн
В браузере Safari обнаружена «дыра» для слива данных пользователей
Эксперты IT-компании FingerprintJS обнаружили в браузере Apple опасную уязвимость. Используя баг приложения, хакеры могут получить доступ к конфиденциальной информации — в том числе некоторым данным учётной записи Google и другим сведениям.
Уязвимость использует одну из особенностей движка браузера, использующего фреймворк IndexedDB. Он настроен таким образом, что открытые в приложении сайты могут «видеть» имена баз данных для любого домена. К примеру, если пользователь посещал Amazon или Netflix, то можно предположить, что он зарегистрирован на этих ресурсах. Для сервисов Google сохраняется ещё и уникальный номер Google ID, который также может оказаться в распоряжении хакеров.
Используя эту информацию, злоумышленники могут получить доступ к другим личным данным пользователя. Сообщается, что уязвимость работает даже в режиме приватного просмотра и актуальна как для десктопной, так и для мобильной версии приложения. Впервые о проблеме стало известно ещё 28 ноября после публикации сведений о баге командой FingerprintJS, но Apple пока так и не выпустила патч, закрывающий «дыру» в браузере.
