พบช่องโหว่สำหรับขโมยข้อมูลส่วนตัวใน AutoFill ของ Safari

By: mk
FounderAndroidRed HatWindows
mk's blog on 23/07/10 8:08 Tags:

มีคนพบช่องโหว่ของฟีเจอร์กรอกฟอร์มอัตโนมัติ หรือ AutoFill ของ Safari เวอร์ชัน 4 และ 5 ซึ่งจะดึงข้อมูลส่วนตัวของเรา เช่น ชื่อ อีเมล องค์กร จาก Address Book ของระบบ (ผมหาไม่เจอว่าเป็นเฉพาะแมค หรือรวมเวอร์ชันวินโดวส์ด้วย) ไปกรอกฟอร์มให้อัตโนมัติ

แฮ็กเกอร์สามารถใช้ช่องโหว่ที่ว่า สร้างเว็บไซต์ปลอมๆ ขึ้นมาดึงเอาข้อมูลส่วนตัวจาก Safari ไปได้เลย ตอนนี้มีคนสร้างเว็บตัวอย่างที่ทำงานขโมยข้อมูลได้จริงแล้ว แต่ยังไม่มีรายงานว่ามีแฮ็กเกอร์ประสงค์ร้าย ใช้โอกาสจากช่องโหว่นี้มาก่อนหรือไม่

ที่สำคัญคือพอช่องโหว่นี้ถูกเผยแพร่ออกมา ปรากฎว่ามันเป็นช่องโหว่เดิมที่ถูกเจอเมื่อ 1 ปีก่อน แต่แอปเปิลยังไม่ได้สนใจจะอุดช่องโหว่นี้ ทางแก้เบื้องต้นคือปิดการดึงข้อมูลจาก Address Book ไปก่อน (ภาพประกอบ)

ที่มา - Jeremiah Grossman, 9to5mac

Comments

By: DrRider
WriterWindows Phone
DrRider's blog
on 23/07/10 8:13 #195086 toggle
DrRider's picture

ทางแก้เบื้องต้น ใช้ Firefox, Chrome, etc ... แทน Safari

We need to learn to forgive but not forget...

By: joomla
iPhoneUbuntu
joomla's blog
on 23/07/10 9:30 #195115 Reply to:195086 toggle
joomla's picture

ฮา

v___v

By: pexza
AndroidUbuntuWindows
pexza's blog
on 23/07/10 8:20 #195089 toggle
pexza's picture

เฮ้อ .. ชีวิตติดเทคโนโลยีนี่ก็ไม่ไหวเหมือนกันนะถ้าไหวตัวไม่ทันเนี่ย

pex.im | pex.in.th | @pexfresh

By: xxa
Android
xxa's blog
on 23/07/10 8:21 #195091 toggle
xxa's picture

บริษัทขี้เกียจ

By: John
iPhoneWindows PhoneAndroidSymbian
John's blog
on 23/07/10 8:51 #195096 toggle
John's picture

ปกติมันจะดึงจาก Keychain นะครับ เป็นโปรแกรมสำหรับเก็บข้อมูลสำคัญพวกรหัสผ่านของเราไว้ แต่การดึงครั้งแรกมันจะถามว่าจะให้เว็บที่เราเปิดนี่ดึงไหม คนที่กดมั่วให้มันดึงหมดอาจจะโดนแบบนี้ได้ (อันนี้เป็นของแมคนะ ของวินโดว์หาไม่เจอเหมือนกันว่ามันทำได้หรือเปล่า)

By: Lightwave
AndroidWindows
Lightwave's blog
on 23/07/10 18:49 #195340 Reply to:195096 toggle
Lightwave's picture

มันถามว่าจะยอมให้แอปนี้ดึงหรือเปล่านิ *ดึงครั้งนี้ครั้งเดียว *ดึงทุกครั้งไม่ต้องมาถามอีก *ไม่ให้ดึง

By: rattananen
AndroidWindows
rattananen's blog
on 23/07/10 9:19 #195110 toggle
rattananen's picture

แล้วข่าวนี้มันอะไรข่าวปลอม? http://www.blognone.com/news/17526 รู้ว่ามีแล้วยังไม่แก้ ยังได้เป็นอันดับหนึ่ง ไม่เข้าใจเลยจริงๆ

no system is safe.

By: TOTEETIME
TOTEETIME's blog
on 23/07/10 9:38 #195118 Reply to:195110 toggle
TOTEETIME's picture

??? ก็เลยได้เป็นเบอร์หนึ่งซอฟต์แวร์ที่มีช่องโหว่ด้านความปลอดภัยไงครับ ข่าวก็สอดคล้องไปทางเดียวกันดีนิ?

By: iStyle
ContributorAndroidSymbianWindows
iStyle's blog
on 23/07/10 9:44 #195124 Reply to:195110 toggle
iStyle's picture

กลับไปอ่านดีๆ อีกรอบครับ

May the Force Close be with you.

By: rattananen
AndroidWindows
rattananen's blog
on 23/07/10 9:52 #195136 Reply to:195124 toggle
rattananen's picture

จริงด้วยครับ ขออภัยด้วยครับ ตอนเช้าหัวมันยังเบลอๆ

no system is safe.

By: bongikairu
ContributorUbuntu
bongikairu's blog
on 23/07/10 12:53 #195222 Reply to:195110 toggle
bongikairu's picture

ผมเห็นเค้าเขียนว่าส่วนใหญ่นะครับ เพราะฉะนั้นเป็นข่าวจริงแน่นอน

Gear's Edge the Blog

By: iStyle
ContributorAndroidSymbianWindows
iStyle's blog
on 23/07/10 9:43 #195123 toggle
iStyle's picture

แปลว่าบริษัทนี้ขี้เกียจ?

May the Force Close be with you.

By: mr_tawan
ContributoriPhoneAndroidWindows
mr_tawan's blog
on 23/07/10 15:01 #195272 Reply to:195123 toggle
mr_tawan's picture

+1 ดูจากอัตราการอัพเดต

By: Fzo
ContributorAndroidUbuntu
Fzo's blog
on 23/07/10 13:29 #195242 toggle
Fzo's picture

สู้ชาว Open Souce ไม่ได้เลย ..

WE ARE THE 99%

By: RYUTAZA
ContributorUbuntuWindows
RYUTAZA's blog
on 23/07/10 19:41 #195370 toggle
RYUTAZA's picture

ข่าวต่อไป: จอบส์บอกปัญหานี้เป็นทุกค่ายพร้อมโชว์ตัวอย่างด้วย IE8 Firefox4 และเรายินดีแจกเมาส์ฟรีสำหรับไว้คลิกแก้ปัญหานี้ ขอให้ทุกคนวางใจได้! ปัญหาไม่ได้เกิดจากเรา..

ป.ล. ล้อเล่นนะครับ ขำ ๆ : P

ยักษ์อาศัยอยู่ใต้ดิน เอเลี่ยนอยู่หลังดวงจันทร์