Фирма по безопасности обнаружила уязвимость безопасности в версии MobileSafari для iOS 5.1, самой последней версии операционной системы, работающей на миллионах мобильных устройств Apple. Поведение было обнаружено и описано Дэвидом Вьеira-Курцем из MajorSecurity.net.

Уязвимость вызвана ошибкой при обработке URL-адресов при использовании метода javascript window.open(). Это может быть использовано для того, чтобы обманом заставить пользователей передавать конфиденциальную информацию на вредоносный веб-сайт, поскольку информация, отображаемая в адресной строке, может быть сконструирована определенным образом, что может привести пользователей к мысли, что они посещают другой веб-сайт, отличающийся от отображаемого.

Чтобы проверить это, посетите эту демонстрационную страницу на iPhone, iPod Touch или iPad под управлением iOS 5.1. Нажмите кнопку «Demo», и MobileSafari откроет новое окно с отображением «www.apple.com» в адресной строке, хотя фактически загружается страница с MajorSecurity.net.

Фирма по безопасности отмечает, что Apple была уведомлена об уязвимости три недели назад, и информация о ней публикуется только сегодня. Apple признала ошибку и вскоре выпустит исправление.