Forum iPhone - iPhone24.info

EnterXP

Firma Redware twierdzi, że odkryła w iPhonie lukę, która pozwala na przeprowadzenie ataku typu denial-of-service. Dziura występuje w wersji 1.1.4 przeglądarki Safari. Błąd projektowy powoduje, że atakujący może manipulować sposobem przydzielania pamięci, co w efekcie prowadzi do wystąpienia błędu w systemie przywracania pamięci (garbage collector).

"Producenci wciąż starają się dostarczyć nowe produkty oraz aplikacje i coraz bardziej oczywistym staje się fakt, że bezpieczeństwo stawiają na drugim miejscu. Tymczasem cyberprzestępcy mają ułatwione zadanie" - mówi Itzik Kotler, szef centrum bezpieczeństwa firmy Radware.

Użytkownik iPhone'a może paść ofiarą ataku gdy odwiedzi witrynę WWW zawierającą spreparowany kod JavaScript. W wyniku ataku dochodzi do awarii Safari. Możliwe jest też spowodowanie awarii samego iPhone'a.

Nie wiadomo, czy atak prowadzi do stałego uszkodzenia oprogramowania telefonu.

Apple opublikowało wersję 3.1.1 przeglądarki safari dla systemów Windows oraz Mac OS X. Poprawia ona dwa błędy występujące w Safari dla Windows XP i Vista oraz dwa w silniku WebKit dla Mac OS X (wersje 10.4.11 i 10.5.2) i Windows XP i Vista.

Jedna z luk w WebKit umożliwia przeprowadzenie ataku typu cross-site scripting i umieszczenie na zaatakowanym komputerze szkodliwego kodu. Dziura ta została wykorzystana podczas ostatniego konkursu hakerskiego PWN to OWN.

Druga z dziur WebKita prowadzi do nieoczekiwanego zakończenia pracy aplikacji i pozwala na uruchomienie dowolnego kodu.

Z kolei luki występujące tylko pod kontrolą systemu Windows powodują nagłe zakończenie pracy aplikacji, umożliwiają uruchomienie dowolnego kodu i dają atakującemu możliwość oszukania przeglądarki i skierowania użytkownika na szkodliwe witryny.

(ź) ArcaBit