Safari, пограничные браузеры, которые могут быть уязвимы…

Фото: Рафай Балох

Подмена URL-адресов позволяет веб-сайтам подделываться в Safari для iOS и Microsoft Edge browser

Особенности

  • Использование Safari и Edge spoofing
  • Microsoft выпустила исправление в рамках 14 августа «Патч вторник»,
  • Apple еще не исправила уязвимость для спуфинга

Исследователь безопасности утверждает, что обнаружил проблему, которая может привести к подделке URL-адресов в Safari для iOS и браузера Microsoft Edge для Windows 10. Хотя Microsoft исправила ошибку, Apple еще не выпустила исправление. Новая атака спуфинга адресной строки (CVE-2018-8383), которая была найдена, использует методы фишинга, которые, как сообщается, обходят базовые индикаторы, такие как URL-адрес, которые являются первыми проверками, чтобы определить, является ли конкретный сайт фальшивым. Уязвимость была впервые сообщена обеим компаниям 2 июня, когда исследователь опубликовал 90-дневный срок для публикации исправления до публикации. В прошлом месяце было опубликовано напоминание о 90-дневном сроке, и Microsoft выпустила исправление в рамках 14 августа «Патч вторник».

Исследователь Rafay Baloch объясняет эту уязвимость как условие гонки, которое позволяет злоумышленнику загружать законную веб-страницу, в результате чего адрес страницы появляется в адресной строке, а затем переписывает код для тела страницы на что-то опасное без обновления URL-адреса на всех, сообщает The Register. Это, по существу, потенциально позволяет злоумышленнику создавать поддельные экраны входа в систему или другие формы, которые могут быть использованы при извлечении имен пользователей, паролей и других персональных пользовательских данных, в то время как пользователи считают, что они находятся на законной странице.

Балох объясняет, "Во время моего тестирования было замечено, что при запросе данных из несуществующего порта адрес сохранялся и, следовательно, из-за состояния гонки по ресурсу, запрашиваемому из несуществующего порта, в сочетании с задержкой, вызванной функцией setInterval, управляемой для запуска адресной строки спуфинг." Он добавляет, "Это заставляет браузер сохранять адресную строку и загружать контент с подделанной страницы. Однако браузер будет загружать ресурс, однако задержка, вызванная функцией setInterval, будет достаточной, чтобы вызвать спуфинг адресной строки."

Видеоролики с концепцией концепций для браузера Edge (v42.17134.1.0) и Safari (iOS 11.3.1) были опубликованы Baloch на его сайте. Интересно отметить, что, поскольку оба браузера закрыты, нет ясности в том, почему Edge и Safari будут затронуты одной и той же проблемой, в то время как Chrome или Firefox остаются незатронутыми. Как уже упоминалось, Microsoft уже исправила ошибку, но Балоч заявляет, что Apple исправит ее в предстоящем обновлении.

Для получения последних технических новостей и обзоров следуйте за гаджетами 360 на Twitter, Facebook и подписаться на наш канал YouTube.

Читайте так же

Патент на 3D-камеру от Apple может стать ключом к ... Недавно обнародованный патент, называемый «обнаружение Gaze в среде 3D-сопоставления», показывает, что Apple изучает возможность создания собственной версии Microsoft Kinect, но лучше и с потенциальными приложениями дополненной реальности. Кредит: Мартин Хаек / iDrop News Патент, о котором сообщает Digital Trends, рассказывает о том, как 3D-каме...
Chrome 71, чтобы заблокировать все объявления на с... Chrome 71 все готово для пользователей в декабре Особенности Google продолжает рекламировать объявления оскорбительных Он заблокирует все объявления на сайтах, которые служат для злоупотреблений Эта функция будет работать с Chrome 71 В своих усилиях по борьбе с оскорбительными впечатлениями в Интернете Google теперь объявила, что заб...
Может Ли Компьютер Раздавать Wifi Без Роутера... Раздаем Wi Fi с компьютера По требованию гостей выкладываю эту статью. Пораздавать веб по Wi Fi (вайфай) реальные на самом деле просто. Фактически точь-в-точь как раздавать веб помощью Wi Fi на ноутбуке. Его есть вариант пораздавать несколькими методами. На данный момент их разглядим в деталях. 1 метод раздачи вайфая. Простейший и действующий. это...