根據Jeremiah Grossman的說明,目前Safari v4 / v5 的AutoFill功能存在相當大的漏洞,可以讓惡意網站輕易獲得通訊錄內的所有資訊(包含姓名、地址、電話...)。此漏洞據說已經存在大約一年,目前建議完全關閉AutoFill功能直到漏洞被修復為止。
此漏洞的實際DEMO,可以從這個網頁實際操作,惡意網站可將上述網頁的操作隱藏在後台執行以竊取資訊。
via Jeremiah Grossman/ I know who your name, where you work, and live (Safari v4 & v5) and Whoa! Disable your Safari AutoFill Immediately | 9 to 5 Mac
沒有留言:
張貼留言