苹果补丁持久性Cookie漏洞由几维安全发现

Cookie是我们日常网络访问的基本部分。我们认为他们是理所当然的，并自由地让网站访问浏览器中的相关“cookies”，因为它们极大地提升了用户体验。如果Cookie超出了单个浏览器会话，Cookie被认为是“持久的”。持久性Cookie保留在您的浏览器中，直到您明确删除它们或浏览器在给定时间后删除它们（由使用Cookie设置的站点）。

使用持久性Cookie的网站的典型示例是您最喜欢的Gmail邮件网站，如Gmail和Yahoo！他们使用持久性Cookie来记住你，所以你每次去收到你的电子邮件都不必登录。

苹果OSX中的漏洞描述及其潜在影响

几维安全发现了苹果最近的OS X版本（El Capitan）中的一个漏洞，使得没有适当权限的应用程序访问Safari浏览器中存储的Cookie。此访问可能导致恶意应用程序提升给定用户的所有持久性Cookie，并访问作为该用户构成的站点。在电子邮件的情况下，可能会导致恶意应用程序访问您的所有电子邮件。更糟糕的是，它可以访问一个网站，存储更多关于您的个人和机密信息。

苹果发布修补程序修复漏洞

今天，苹果发布了El Capitan v10.11.6的新更新，其中安全更新2016-004解决了此漏洞。

有关持久性Cookie的其他信息

持久性Cookie的使用正在稳步增长。截至2016年7月，23.6％的网站使用持久性Cookie。虽然这些网站中有38.6％使用cookies在几个小时内到期，但超过60％的网站使用Cookie在几天或几个月内到期。