Gdzie jest luka? W opcji za­pa­mię­ty­wa­nia danych for­mu­la­rzy. Opcja auto uzu­peł­nia­nia posłuży Gors­sma­nowi do po­ka­za­nia, że takowa luka istnieje i należy ją jak naj­szyb­ciej załatać.

technologie.gazeta.pl:

W przy­padku Safari jego skrypt symuluje wpi­sy­wa­nie w pola tekstowe ko­lej­nych liter i liczb, a na­stęp­nie zapisuje wartości, które udało się w ten sposób uzyskać. W przy­padku IE po prostu symuluje na­ci­śnię­cie kursora w dół (po­dat­ność nie dotyczy jednak naj­now­szej wersji prze­glą­darki, czyli IE8, a jedynie 6 i 7). Wszystko dzieje się au­to­ma­tycz­nie i w ciągu sekund, wy­star­czy tylko wejść na stronę. Aby do­dat­kowo utrudnić wykrycie ataku, pole i wpi­sy­wane w nie in­for­ma­cje mogą być usta­wione tak, aby użyt­kow­nik nie widział co się dzieje.

Za pomocą tej metody można bez­pro­ble­mowo wyciągać wszelkie dane użyt­kow­ni­ków, które zostały oczy­wi­ście wpisane w formularze.

Grossman po­wia­do­mił Apple o luce. Firma przy­znała, że wie o niej i pracuje nad jej za­ła­ta­niem. Użyt­kow­nicy Internet Explo­rera powinni zak­tu­ali­zo­wać prze­glą­darkę do wersji 8, gdzie problem nie występuje.

[ź] technologie.gazeta.pl