Как указано в документации по безопасности, сопровождающей сегодняшний выпуск, Safari 5.0.1 и 4.1.1 устраняют обнаруженную на прошлой неделе уязвимость безопасности функции автозаполнения, которая могла позволить злонамеренному сайту получить доступ к информации из адресной книги пользователя, включая имя, название компании, город/штат/страну и адрес электронной почты.

Последствия: Функция автозаполнения Safari может раскрывать информацию веб-сайтам без взаимодействия с пользователем

Описание: Функция автозаполнения Safari может автоматически заполнять веб-формы, используя указанную информацию из вашей адресной книги Mac OS X, Outlook или адресной книги Windows. По замыслу, для работы автозаполнения в веб-форме требуется действие пользователя. Существует проблема реализации, которая позволяет злонамеренно составленному веб-сайту вызывать автозаполнение без взаимодействия с пользователем. Это может привести к раскрытию информации, содержащейся в Карточке адресной книги пользователя. Чтобы вызвать эту проблему, необходимы следующие два условия. Во-первых, в «Настройках Safari» в разделе «Автозаполнение» должна быть установлена галочка «Автозаполнять веб-формы с информацией из моей карточки адресной книги». Во-вторых, в адресной книге пользователя должна быть назначена карточка «Моя карточка». Через автозаполнение будет доступна только информация из этой конкретной карточки. Эта проблема устранена путем запрета автозаполнения информации без действия пользователя. Устройства с iOS не затронуты. Признательность Джеремиа Гроссману из WhiteHat Security за сообщение об этой проблеме.

Гроссман сообщил об этой проблеме Apple 17 июня, но обнародовал свое заявление на прошлой неделе, чтобы предупредить клиентов после того, как не получил значительного ответа от Apple. После публичного раскрытия информации Гроссмана Apple признала проблему и пообещала, что работает над ее исправлением.