В iOS и macOS обнаружили уязвимость, позволяющую красть пароли из Safari
Исследователи обнаружили уязвимость временного выполнения в iOS и macOS под названием iLeakage. С её помощью злоумышленники могут использовать Safari для кражи паролей, электронных писем, платёжной информации и других данных. По словам исследователей, пока никто не успел воспользоваться ошибкой.
Во время атаки пользователь переходит на сайт, который фоном открывает другой веб-ресурс с вредносным кодом, используемым для нарушения изоляции памяти. Ошибка браузерного движка WebKit в том, что он группирует сайты из разных доменов в один процесс, используя функцию JavaScript window.open. Поэтому у таких сайтов общая память, а запустив вредоносный код, можно вытащить конфиденциальные данные из всего процесса.
Исследователи безопасности показали, как им удалось скомпрометировать логины и пароли от нескольких популярных социальных сетей, восстановить письма из сервиса Gmail, собрать историю просмотра YouTube и получить данные из функции автоматического заполнения Safari.
Уязвимость iLeakage можно использовать на устройствах с процессорами A12, M1 и более новыми. Ошибка встречается только в браузерах на базе WebKit. На iOS это все доступные браузеры, а на macOS только Safari. В 2018 году похожие ошибки Spectre и Meltdown обнаружили в процессорах от AMD и Intel. Компании выпустили патчи, но iLeakage обходит их.
Отмечается, что провести атаку с помощью iLeakage легче, чем подготовиться к ней. Для этого надо иметь опыт работы с подобными ошибками и глубоко понимать, как работают процессоры Apple. По этой причине ошибку ещё никто не использовал. Известно, что Apple знает об iLeakage и готовит патч.
7 (495) 749-28-49
www.configit.ru
https://habr.com/ru/news/770228/
#ileakage #ios #macos #safari #apple #уязвимость #браузер #новости #ит #конфигит #configit #cit
Исследователи обнаружили уязвимость временного выполнения в iOS и macOS под названием iLeakage. С её помощью злоумышленники могут использовать Safari для кражи паролей, электронных писем, платёжной информации и других данных. По словам исследователей, пока никто не успел воспользоваться ошибкой.
Во время атаки пользователь переходит на сайт, который фоном открывает другой веб-ресурс с вредносным кодом, используемым для нарушения изоляции памяти. Ошибка браузерного движка WebKit в том, что он группирует сайты из разных доменов в один процесс, используя функцию JavaScript window.open. Поэтому у таких сайтов общая память, а запустив вредоносный код, можно вытащить конфиденциальные данные из всего процесса.
Исследователи безопасности показали, как им удалось скомпрометировать логины и пароли от нескольких популярных социальных сетей, восстановить письма из сервиса Gmail, собрать историю просмотра YouTube и получить данные из функции автоматического заполнения Safari.
Уязвимость iLeakage можно использовать на устройствах с процессорами A12, M1 и более новыми. Ошибка встречается только в браузерах на базе WebKit. На iOS это все доступные браузеры, а на macOS только Safari. В 2018 году похожие ошибки Spectre и Meltdown обнаружили в процессорах от AMD и Intel. Компании выпустили патчи, но iLeakage обходит их.
Отмечается, что провести атаку с помощью iLeakage легче, чем подготовиться к ней. Для этого надо иметь опыт работы с подобными ошибками и глубоко понимать, как работают процессоры Apple. По этой причине ошибку ещё никто не использовал. Известно, что Apple знает об iLeakage и готовит патч.
7 (495) 749-28-49
www.configit.ru
https://habr.com/ru/news/770228/
#ileakage #ios #macos #safari #apple #уязвимость #браузер #новости #ит #конфигит #configit #cit
Хабр
В iOS и macOS обнаружили уязвимость, позволяющую красть пароли из Safari
Исследователи обнаружили уязвимость временного выполнения в iOS и macOS под названием iLeakage. С её помощью злоумышленники могут использовать Safari для кражи паролей, электронных писем, платёжной...