原文地址:https://www.hackeye.net/securityevent/16234.aspx
巴基斯坦安全研究人员Rafay Baloch发现,Safari浏览器中的漏洞允许攻击者控制地址栏上显示的内容,使得JavaScript可在完全加载网页之前更改地址栏,从而易出现用户难以识别的网络钓鱼攻击。
Rafay Baloch只在Safari和Edge浏览器中找出了这个漏洞,他发现后立即向苹果公司和微软公司报告了该漏洞。微软在8月14日发布了一款Edge补丁作为其安全升级的一部分,而苹果直到近日才提供补丁。(向公众公众曝光的三个月宽限期在一周前到期)
虽然这个漏洞还没有得到一个严重程度评分,但它已经得到了一个追踪id: CVE-2018-8383。为了利用这个漏洞,攻击者需要欺骗受害者进入一个为轻松实现漏洞而专门设计的网站,苹果推迟补丁可能会让Safari浏览器容易受到攻击,允许攻击者伪造任何网页,因为受害者看到合法的域名在地址栏中有完整的身份验证标记会误以为网页安全。
当研究人员用PoC(概念验证)代码测试bug时,页面能够从Gmail加载内容,而页面托管在sh3ifu.com上,Bug明显在起作用:不过有些元素在页面加载时还未加载完毕,表明工作过程并不完整(概念验证视频网址:https://youtu.be/dGJSsK55nfQ)。
Safari浏览器当前面临的唯一困难是用户无法在页面加载时输入字段。Baloch说,他和他的团队通过在屏幕上添加假键盘克服了这个问题,这是银行特洛伊木马多年来一直做的事情。
151
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
