Исследователи Digital Security обнаружили уязвимость в браузере Safari от Apple

28.07.2017

Компания Digital Security, специализирующаяся на анализе защищенности систем и исследованиях в области ИБ, предупреждает об обнаружении уязвимости среднего уровня критичности в браузерном движке WebKit, который использует Apple в браузере Safari. Данная проблема безопасности найдена исследователями Digital Security Егором Карбутовым и Егором Салтыковым и позволяет исполнять JS-код в контексте любой страницы.

Уязвимость была обнаружена в апреле, о чем сразу была проинформирована компания Apple. До устранения проблемы и выхода обновления ПО, по соглашению с вендором, исследователи не предавали огласке детали. Браузер имел логическую проблему с document.implementation - построением DOM представлений из HTML-кода страницы. Например, функция DOMParser при обработке HTML производила выполнение JS-кода в контексте браузера Safari, в отличие от других популярных браузеров - Firefox, Edge, Chrome. Если какой-либо из веб-сервисов производил подстановку в чистом виде кода в функцию DOMParser, на клиента можно было произвести XSS-атаку, которая могла перевести к фишингу, краже конфиденциальных данных и т.д. Уязвимости подвержены все устройства, использующие браузер Safari: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.6, iPhone 5 и более поздние модели, iPad (4-го поколения) и более поздние модели, iPod touch (6-го поколения), Apple TV (4-го поколения).

Проблема безопасности была исправлена в обновлениях Apple от 19 июля 2017 года (CVE-2017-7038). Рекомендуем обновить ваши мобильные устройства.

Официальные благодарности от Apple:

https://support.apple.com/ru-ru/HT207924
https://support.apple.com/ru-ru/HT207921
https://support.apple.com/ru-ru/HT207923 ← Вернуться к списку
Оставить заявку