苹果公司即将发布浏览器漏洞修复程序

安全研究人员发现，Safari Web浏览器中未修补的漏洞允许攻击者控制地址栏中显示的内容。该方法可以实现普通消费者难以发现的精心设计的网络钓鱼攻击。

该错误是竞争条件类型，它是由浏览器允许JavaScript在网页完全加载之前更新地址栏引起的。

Apple正在花时间发布修复程序

安全研究员Rafay Baloch只能在Safari和Edge Web浏览器中重现此漏洞。

他向两家浏览器的制造商通报了风险，但只有微软在8月14日回复了补丁，这是其定期发布安全更新的一部分。

苹果公司在6月2日收到了有关该漏洞的报告，并在公开披露之前收到了90天的修复。三个月的时间已经过了一个多星期以前，Safari没有补丁。

欺骗眼睛和头脑

该漏洞现在被跟踪为CVE-2018-8383，并且尚未获得严重性分数。利用它需要攻击者欺骗受害者访问特制的网页，这很容易实现。

“在从不存在的端口请求数据时，地址被保留，因此由于不存在的端口请求的资源上的竞争条件与setInterval函数引起的延迟相结合，设法触发地址栏欺骗，”他解释说技术报告。

通过延迟地址栏上的更新，攻击者可以模拟任何网页，而受害者可以在地址栏中看到合法的域名，并填写所有身份验证标记。

研究人员设置的概念验证（PoC）页面测试iOS上的错误。该页面旨在加载来自sh3ifu [。] com上托管的gmail [。] com的内容，并且它们都可以无缝地工作。

但是，由于背景元素在加载阶段具有较低的优先级，因此许多网站都会发生这种情况。 用户不会读取任何内容并继续登录。

Safari上唯一的问题是用户在页面仍在加载时无法输入字段。 俾路支说，他和他的团队设法通过在屏幕上注入假键盘来跳过这个障碍，这是木马特洛伊斯多年来所做的事情。

Apple研究人员将在下一组安全更新中加入修复程序。