ข่าว IT ล่าสุด
ถูกใจอย่าลืม Like Fanpage
[it] Safari มีช่องโหว่แฮคเกอร์ใช้ล้วงข้อมูลได้
แสดงแล้ว 1551 ครั้ง /
กรกฎาคม 23, 2010, 11:42:46

Moshi

ออฟไลน์
กระทู้ : 16,996
คะแนนขอบคุณ : 45
it4x สังคมแห่งการเรียนรู้
      รายงานข่าวล่าสุด ผู้เชี่ยวชาญระบบรักษาความปลอดภัยเผย คุณสมบัติการทำงาน Autofill ที่ช่วยกรอกข้อมูลในแแบบฟอร์มออนไลน์โดยอัตโนมัติในเว็บบราวเซอร์ Safari ของ Apple มีช่องโหว่ที่เปิดโอกาสให้แฮคเกอร์สามารถใช้ในการล้วงข้อมูลต่างๆ ของผู้ใช้ ซึ่งรวมถึง ชื่อ และอีเมล์แอดเดรส


     
 

Jeremiah Grossman ได้เปิดเผยรายละเอียดไว้ในบล็อกของเขาว่า ผู้ใช้ที่ใช้คุณสมบัติการทำงานที่เรียกว่า "AutoFill web forms" ของบราวเซอร์ Safari เวอร์ชัน 4 และ 5 ให้ระวัง เนื่องจากคุณสมบัติดังกล่าวมีช่องโหว่ที่สามารถแทรกโค้ดอันตรายเข้าไปได้ ซึ่งปกติคุณสมบัติการทำงานของ AutoFill จะถูกเปิดให้ทำงานตั้งแต่แรกแล้ว 

สำหรับคุณสมบัติดังกล่าวจะทำหน้าที่กรอกข้อมูลเข้าไปในแบบฟอร์มออนไลน์ให้กับผู้ใช้ได้โดยอัตโนมัติ อย่างเช่น ชื่อ บริษัท เมือง รัฐ อีเมล์ และอื่นๆ อีกมากมาย โดยข้อมูลเหล่านี้จะถูกดึงจากบันทึกข้อมูลส่วนตัวของผู้ใช้ที่รวมอยู่ใน address book ของระบบปฏิบัติการ Mac OS X ซึ่งนั่นหมายความว่า ข้อมูลส่วนตัวของผู้ใช้สามารถถูกนำมาใช้งานได้ แม้ผู้ใช้จะไม่ได้เป็นคนป้อนเข้าไปให้กับบราวเซอร์ก็ตาม "เว็บไซต์ไม่หวังดีสามารถแอบดึงข้อมูลจาก Address Book ผ่านทางบราวเซอร์ Safari โดยใช้แบบฟอร์มออนไลน์ที่ไม่แสดงให้เห็นบนหน้าจอ แล้วใช้จาวาสคริปท์จำลองการกดตัวอักษร A-Z เข้าไปในฟอร์ม เพื่อให้บราวเซอร์ดึงข้อมูลที่ตรงกันออกมา เมื่อได้ครบตามต้องการก็ส่งข้อมูลเหล่านั้นกลับไปยังแฮคเกอร์" Grossman โพสต์ข้อความนี้ไว้ในบล็อกของเขา

Grossman ยังได้สร้างหน้าเว็บ เพื่อพิสูจน์แนวคิด (proof-of-concept) ของเขา โดยแสดงให้เห็นว่า ใช้เวลาเพียงไม่กี่วินาทีเท่านั้น ก็สามารถดึงข้อมูลส่วนบุคคลของผู้ใช้ออกไปได้แล้ว  Grossman กล่าวว่า ข้อมูลที่ได้สามารถนำไปใช้ในการส่งสแปม หรือโจมตีด้วยฟิชชิ่ง "โชคดีที่ข้อมูลใน AutoFill ที่เริ่มต้นด้วยตัวเลข อย่างเช่น เบอร์โทรศัพท์ หรือหมายเลขถนน จะไม่สามารถดึงออกมาได้ เนื่องจากมันไม่ค่อยเป็นที่นิยมใช้ในช่องใส่ข้อความ (text field)" เขากล่าว "อย่างไรก็ตาม การโจมตีด้วยวิธีนี้สามารถทำได้ง่าย แถมยังกระจายออกไปยังหมู่ผู้ใช้เป็นจำนวนมากได้ง่ายอีกด้วย" สำหรับวิธีป้องกันตัวเองง่ายๆ ก็คือ ปิด (disable) การทำงานของ AutoFill ใน Safari ไว้จนกว่าทาง Apple จะมีการแก้ปัญหานี้ออกมา

ข้อมูลจาก: tgdaily

แสดงบนเว็บไซด์ : http://www.it4x.com

ที่อยู่ของข้อความต้นฉบับ: http://www.arip.co.th/news.php?id=411784


 

ด้วยฟังค์ชั่น ตอบด่วน คุณสามารถใช้โค๊ดและ เครื่องหมายแสดงอารมณ์ได้ เหมือนการตั้งกระทู้ธรรมดา แต่สามารถทำได้สะดวกกว่า

ระวัง: หัวข้อนี้ไม่มีการอัพเดทมานานถึง 120 วัน

แจ้งเตือน: โพสของคุณจะไม่แสดงจนกว่าผู้ดูแลจะอนุมัติ.
ชื่อ: อีเมล์: