Các nhà nghiên cứu của Kaspersky đã phát hiện lỗ hổng bảo mật trên một số phiên bản của trình duyệt Safari của Apple. Lỗ hổng này dễ bị tin tặc lợi dụng để truy cập mật khẩu của người dùng.

Các chuyên gia cho rằng, lỗ hổng xuất hiện trên các phiên bản hệ điều hành OSX 10.8.5 với trình duyệt Safari 6.0.5 (8536.30.1) và OSX 10.7.5, Safari 6.0.5 (7536.30.1). Lỗ hổng này tồn tại trong chức năng “Reopen All Windows from Last Session”.

Chức năng này cho phép người dùng khôi phục lại các cửa sổ làm việc trước đó của họ. Điều đó có nghĩa rằng, nếu bạn đã đăng nhập vào một trang web trước khi đóng chúng lại, khi bạn khôi phục lại trang web đó, bạn sẽ được tự động đăng nhập lại mà không cần gõ mật khẩu. Tệp tin LastSession.plist hiển thị tất cả các thông tin người dùng. Hệ thống có thể dễ dàng mở một tệp tin plist. Chúng lưu trữ thông tin về các phiên làm việc.

Do đó, một kẻ tấn công sẽ không gặp bất cứ vấn đề gì để có thể tiếp cận tệp tin này. Mặt khác, chức năng này cũng không gây khó khăn để các chương trình độc hại truy cập vào tệp tin và lấy thông tin nhận dạng người dùng đối với mạng xã hội và thậm chí cả các trang web ngân hàng trực tuyến.

Kaspersky cho biết, hiện chưa có bằng chứng cho thấy phần mềm độc hại đã khai thác lỗ hổng này. Tuy nhiên, các chuyên gia tin rằng, đó chỉ là vấn đề thời gian mà thôi. Kaspersky đã thông báo vấn đề này cho Apple nhưng họ không tiết lộ về kế hoạch của công ty có làm gì để bảo vệ người tiêu dùng hay không.

Bên cạnh đó, Kaspersky cũng khuyến cáo người dùng nên sử dụng trình duyệt web khác nếu đang sử dụng các phiển bản kể trên.

Theo VnMedia/PCW




Bình luận

  • TTCN (0)