Oligur

• ニュース

Kaspersky Lab の Securelist ブログの制作者たちは、Safari のイースターエッグを発見した。そこにはユーザー ID とパスワードがプレーンテキストでリストされているという。

この問題は、Safari の「最後のセッションからすべてのウィンドウを再度開く」機能で使用されるブラウザ履歴の保持に関係しています。この機能により、ユーザーは以前の Safari セッション中に開いたサイトを簡単に再訪問できるようになります。

しかし、カスペルスキーは、Safariがこの復元を可能にするために作成するドキュメントにも、ユーザーIDとパスワードが平文で含まれていることを発見しました。ファイル自体は隠されていますが、探しているものが分かっていれば、見つけるのは難しくありません。

カスペルスキーのブログでは次のように指摘している。

「もしサイバー犯罪者や悪意のあるプログラムが、ユーザーが Facebook、Twitter、LinkedIn、またはオンライン バンク アカウントにログインするシステム上の LastSession.plist ファイルにアクセスしたら、何が起こるかは容易に想像できます。

我々の考えでは、暗号化されていない機密情報を無制限のアクセスで保存することは、悪意のあるユーザーに最小限の労力でユーザーデータを盗む機会を与える重大なセキュリティ上の欠陥です。」

良いニュースが 1 つあります。Kaspersky 社によると、この問題は Safari 6.0.5 (8536.30.1) を実行している OSX10.8.5 と、Safari 6.0.5 (7536.30.1) を実行している OSX10.7.5 にのみ影響するということです。

カスペルスキー社は調査結果をアップル社に伝えた。

出典: Securelist

出典：The Register