Een beveiligingslek in Apple Safari dat ervoor zorgt dat wachtwoorden van gebruikers onversleuteld worden opgeslagen is nog steeds in de browser aanwezig. De browser doet dit zodat het de vorige sessie van de gebruiker, bijvoorbeeld na een crash, kan herstellen. Ook geopende websites waar de gebruiker is ingelogd worden bewaard, alsmede de informatie om op deze websites in te loggen. Safari bewaart de websites en bijbehorende gebruikersnamen en wachtwoorden onversleuteld in een standaard plist-bestand, genaamd LastSession.plist.

"Stel je voor dat cybercriminelen of een kwaadaardig programma toegang tot het LastSession.plist-bestand op het systeem krijgt waar gebruikers op Facebook, Twitter, LinkedIn of hun online bankrekening inloggen", zo liet analist Vyacheslav Zakorzhevsky eerder deze maand weten.

Het probleem werd door Kaspersky Lab aangetroffen op Mac OS X 10.7.5 en 10.8.5 met Safari 6.0.5.  En in de media verschenen berichten dat het probleem in nieuwe versies van Safari was gepacht. Volgens beveiligingsbedrijf Rapid7 is dit echter niet waar, de gegevens worden ook in Apple Safari versie 6.1 en 7.0.1 (9537.73.11) op Mac OS X 10.9.1 onversleuteld opgeslagen.

In afwachting van een patch krijgen gebruikers van Rapid7 het advies om opgeslagen websitegegevens te verwijderen. Dit is eenvoudig te doen via het taakmenu van Safari. Door "Voorkeuren" te kiezen en vervolgens naar het tabblad "Privacy" te gaan kunnen opgeslagen gegevens middels de knop "Verwijder alle websitegegevens" worden verwijderd.

Alles bij de bron; Security