研究人员发现Microsoft Edge及苹果Safari浏览器均存在一漏洞,可让黑客借机进行网址列欺骗,导致用户连到恶意网站。微软已修补了该漏洞,但目前苹果尚未修补。
Safari被爆有网址列欺骗(Address Bar Spoofing)漏洞未修补,可能害用户连上恶意网站。网址造假漏洞是一种理解竞争(race condition)型态的漏洞,原因是浏览器允许JavaScript在网页完全加载之前更新网址列的内容。黑客利用setInterval函式造成的时间延迟,加载假网站的内容。
研究人员Rafa Baloch在微软Microsoft Edge和苹果Safari都成功复制此一漏洞。他在6月2 日向微软及苹果通报此一漏洞。不过只有微软做出回应。微软在8月14日的安全更新中修补编号CVE-2018-8383的Microsoft Edge漏洞。
苹果Safari虽然防止用户在网页加载状态下在输入格中键入信息,但是研究人员藉由输入假键盘(类似屏幕键盘)可成功绕过这个机制。苹果虽然在6月初接获通知,但到了8月31日的90天期间仍然未修补。因此此时Safari用户有遭网钓攻击的风险。苹果预计要到下一次Safari 安全更新,才会修补本项漏洞。就在昨天Google Chrome 69也因为隐藏版的URL显示设计,引发安全研究人员批评可能让用户被导向假网站攻击。