• 首页
  • 新闻资讯
  • 谨防!未修补的Safari浏览器黑客可以让攻击者欺骗URL

谨防!未修补的Safari浏览器黑客可以让攻击者欺骗URL

时间 : 2018-09-14 编辑 : DNS智能解析专家 分享 : 

据外媒 BLEEPINGCOMPUTER 报道,安全研究人员 Rafay Baloch 发现苹果的 Safari 和微软的 Edge Web 浏览器中存在严重漏洞,可能允许攻击者在Windows的Microsoft Edge Web浏览器和iOS的Apple Safari中,在不改变原有合法的 URL 地址情况下,快速将页面内的代码转换成恶意代码,从而在普通用户填写账号或密码时收集用户隐私。虽然微软上个月修复了地址栏URL欺骗漏洞作为其每月安全更新的一部分,但Safari仍未修补,可能使Apple用户容易受到网络钓鱼攻击。

1

如今的网络钓鱼攻击很复杂,越来越难以发现,这个新发现的漏洞将其带到了另一个层面,可以绕过URL和SSL等基本指标,这是用户检查网站是否是假的第一件事。


以下是URL欺骗漏洞的工作原理


该漏洞现在被跟踪序列号为 CVE-2018-8383,其导致的严重性目前尚未可知,但攻击者通过利用它,成功利用该漏洞可能允许攻击者最初开始加载合法页面,这将导致页面地址显示在URL栏中,然后使用恶意页面快速替换网页中的代码。欺骗受害者访问特制的网页,整个过程很容易实现。


“在从不存在的端口请求数据时,地址被保留,因此由于不存在的端口请求的资源上的竞争条件与setInterval函数引起的延迟相结合而设法触发地址栏欺骗,”Baloch在技术报告中解释道。


“它会导致浏览器保留地址栏并从欺骗页面加载内容。然而,浏览器最终将加载资源,但是使用setInterval函数引起的延迟足以触发地址栏欺骗。“


通过延迟地址栏上的更新,使用此漏洞,攻击者可以模拟任何网页,包括Gmail,Facebook,Twitter甚至银行网站,并创建虚假登录屏幕或其他表单以窃取用户的凭据和其他数据,用户可以在地址栏中查看合法的域名,并填写所有身份验证标记。由于地址栏中显示的URL不会改变,因此即使受过训练的用户也难以检测到网络钓鱼攻击。


对此,外媒 BleepingComputer 使用研究人员设置的概念验证(PoC)页面测试 iOS 上的错误。该页面旨在加载来自 sh3ifu.com 上托管的 gmail.com 的内容,证实了它们都可以无缝衔接。


Baloch创建了一个概念验证(PoC)页面来测试漏洞,并观察到Microsoft Edge和Apple Safari浏览器“允许javascript在页面仍在加载时更新地址栏”。根据Baloch的说法,Google Chrome和Mozilla Firefox网络浏览器都不受此漏洞的影响。


目前,安全研究员 Rafay Baloch 已向两家浏览器的制造商通提交了该漏洞,其中微软在8 月 14 日更新了补丁,而苹果公司在 6 月 2 日就收到了有关该漏洞的报告,且距离今天已过去了三个月的时间,至今并未得到是否已经修补了漏洞的消息。按照行业惯例,在向相关的科技公司报告安全漏洞 90 天之后,Baloch 可正式对外公开漏洞信息,不过他还在等待苹果公司对 Safari 浏览器的漏洞进行修改的结果,目前仍没有公布有关发起攻击的概念验证代码。


来源:https://satoshinakamotoblog.com/beware-unpatched-safari-browser-hack-lets-attackers-spoof-urls