พบช่องโหว่สำหรับขโมยข้อมูลส่วนตัวใน AutoFill ของ Safari

By: mk

on 23 July 2010 - 09:08 Tags:

Topics:

มีคนพบช่องโหว่ของฟีเจอร์กรอกฟอร์มอัตโนมัติ หรือ AutoFill ของ Safari เวอร์ชัน 4 และ 5 ซึ่งจะดึงข้อมูลส่วนตัวของเรา เช่น ชื่อ อีเมล องค์กร จาก Address Book ของระบบ (ผมหาไม่เจอว่าเป็นเฉพาะแมค หรือรวมเวอร์ชันวินโดวส์ด้วย) ไปกรอกฟอร์มให้อัตโนมัติ

แฮ็กเกอร์สามารถใช้ช่องโหว่ที่ว่า สร้างเว็บไซต์ปลอมๆ ขึ้นมาดึงเอาข้อมูลส่วนตัวจาก Safari ไปได้เลย ตอนนี้มีคนสร้างเว็บตัวอย่างที่ทำงานขโมยข้อมูลได้จริงแล้ว แต่ยังไม่มีรายงานว่ามีแฮ็กเกอร์ประสงค์ร้าย ใช้โอกาสจากช่องโหว่นี้มาก่อนหรือไม่

ที่สำคัญคือพอช่องโหว่นี้ถูกเผยแพร่ออกมา ปรากฎว่ามันเป็นช่องโหว่เดิมที่ถูกเจอเมื่อ 1 ปีก่อน แต่แอปเปิลยังไม่ได้สนใจจะอุดช่องโหว่นี้ ทางแก้เบื้องต้นคือปิดการดึงข้อมูลจาก Address Book ไปก่อน (ภาพประกอบ)

ที่มา - Jeremiah Grossman, 9to5mac

Hiring! บริษัทที่น่าสนใจ

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

Comments

By: DrRider

on 23 July 2010 - 09:13 #195086

ทางแก้เบื้องต้น ใช้ Firefox, Chrome, etc ... แทน Safari

We need to learn to forgive but not forget...

By: joomla

on 23 July 2010 - 10:30 #195115 Reply to:195086

ฮา

By: pexza

on 23 July 2010 - 09:20 #195089

เฮ้อ .. ชีวิตติดเทคโนโลยีนี่ก็ไม่ไหวเหมือนกันนะถ้าไหวตัวไม่ทันเนี่ย

By: xxa

on 23 July 2010 - 09:21 #195091

บริษัทขี้เกียจ

By: John

on 23 July 2010 - 09:51 #195096

ปกติมันจะดึงจาก Keychain นะครับ เป็นโปรแกรมสำหรับเก็บข้อมูลสำคัญพวกรหัสผ่านของเราไว้ แต่การดึงครั้งแรกมันจะถามว่าจะให้เว็บที่เราเปิดนี่ดึงไหม คนที่กดมั่วให้มันดึงหมดอาจจะโดนแบบนี้ได้ (อันนี้เป็นของแมคนะ ของวินโดว์หาไม่เจอเหมือนกันว่ามันทำได้หรือเปล่า)

By: Lightwave

on 23 July 2010 - 19:49 #195340 Reply to:195096

มันถามว่าจะยอมให้แอปนี้ดึงหรือเปล่านิ
*ดึงครั้งนี้ครั้งเดียว
*ดึงทุกครั้งไม่ต้องมาถามอีก
*ไม่ให้ดึง

By: rattananen

on 23 July 2010 - 10:19 #195110

แล้วข่าวนี้มันอะไรข่าวปลอม? http://www.blognone.com/news/17526
รู้ว่ามีแล้วยังไม่แก้ ยังได้เป็นอันดับหนึ่ง ไม่เข้าใจเลยจริงๆ

By: TOTEETIME on 23 July 2010 - 10:38 #195118 Reply to:195110

??? ก็เลยได้เป็นเบอร์หนึ่งซอฟต์แวร์ที่มีช่องโหว่ด้านความปลอดภัยไงครับ
ข่าวก็สอดคล้องไปทางเดียวกันดีนิ?

By: iStyle

on 23 July 2010 - 10:44 #195124 Reply to:195110

กลับไปอ่านดีๆ อีกรอบครับ

May the Force Close be with you. || @nuttyi

By: rattananen

on 23 July 2010 - 10:52 #195136 Reply to:195124

จริงด้วยครับ ขออภัยด้วยครับ
ตอนเช้าหัวมันยังเบลอๆ

By: bongikairu

on 23 July 2010 - 13:53 #195222 Reply to:195110

ผมเห็นเค้าเขียนว่าส่วนใหญ่นะครับ เพราะฉะนั้นเป็นข่าวจริงแน่นอน

By: iStyle

on 23 July 2010 - 10:43 #195123

แปลว่าบริษัทนี้ขี้เกียจ?

May the Force Close be with you. || @nuttyi

By: mr_tawan

on 23 July 2010 - 16:01 #195272 Reply to:195123

+1 ดูจากอัตราการอัพเดต

9tawan.net บล็อกส่วนตัวฮับ

By: Fzo

on 23 July 2010 - 14:29 #195242

สู้ชาว Open Souce ไม่ได้เลย ..

WE ARE THE 99%

By: RYUTAZA

on 23 July 2010 - 20:41 #195370

ข่าวต่อไป: จอบส์บอกปัญหานี้เป็นทุกค่ายพร้อมโชว์ตัวอย่างด้วย IE8 Firefox4
และเรายินดีแจกเมาส์ฟรีสำหรับไว้คลิกแก้ปัญหานี้ ขอให้ทุกคนวางใจได้! ปัญหาไม่ได้เกิดจากเรา..

ป.ล. ล้อเล่นนะครับ ขำ ๆ : P

Main menu