苹果公司即将发布浏览器漏洞修复程序

安全研究人员发现,Safari Web浏览器中未修补的漏洞允许攻击者控制地址栏中显示的内容。该方法可以实现普通消费者难以发现的精心设计的网络钓鱼攻击。

该错误是竞争条件类型,它是由浏览器允许JavaScript在网页完全加载之前更新地址栏引起的。

Apple正在花时间发布修复程序

安全研究员Rafay Baloch只能在Safari和Edge Web浏览器中重现此漏洞。

他向两家浏览器的制造商通报了风险,但只有微软在8月14日回复了补丁,这是其定期发布安全更新的一部分。

苹果公司在6月2日收到了有关该漏洞的报告,并在公开披露之前收到了90天的修复。三个月的时间已经过了一个多星期以前,Safari没有补丁。

欺骗眼睛和头脑

该漏洞现在被跟踪为CVE-2018-8383,并且尚未获得严重性分数。利用它需要攻击者欺骗受害者访问特制的网页,这很容易实现。

“在从不存在的端口请求数据时,地址被保留,因此由于不存在的端口请求的资源上的竞争条件与setInterval函数引起的延迟相结合,设法触发地址栏欺骗,”他解释说技术报告。

通过延迟地址栏上的更新,攻击者可以模拟任何网页,而受害者可以在地址栏中看到合法的域名,并填写所有身份验证标记。

研究人员设置的概念验证(PoC)页面测试iOS上的错误。该页面旨在加载来自sh3ifu [。] com上托管的gmail [。] com的内容,并且它们都可以无缝地工作。

但是,由于背景元素在加载阶段具有较低的优先级,因此许多网站都会发生这种情况。 用户不会读取任何内容并继续登录。

Safari上唯一的问题是用户在页面仍在加载时无法输入字段。 俾路支说,他和他的团队设法通过在屏幕上注入假键盘来跳过这个障碍,这是木马特洛伊斯多年来所做的事情。

Apple研究人员将在下一组安全更新中加入修复程序。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/apples-safari-falls-for-new-address-bar-spoofing-trick/
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券