聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
一名安全研究员发现,Safari web 浏览器中存在一个未修复漏洞,可导致攻击者通过一般用户无法发现构造精良的钓鱼攻击控制显示在地址栏中的内容。
这个 bug 是竞争条件类,是因浏览器允许 JavaScript 在网页完全加载前更新地址栏导致的。
苹果正在推出补丁
安全研究员 Rafay Baloch能够重现仅出现在 Safari 和 Edge web 浏览器中的漏洞。他已将风险情况告知这两个浏览器厂商,但只有微软在8月14日的“补丁星期二”发布了补丁。
苹果公司在6月2日收到漏洞报告,但如今90天期限已过但漏洞仍未被修复。
攻击过程
该漏洞的编号是 CVE-2018-8383,目前尚未获得安全评分。攻击者需要诱骗受害患者访问一个特殊构造的网页才能利用该漏洞,不过这种目的很容易实现。
研究人员指出,攻击者能通过延迟地址栏中的攻击模拟任何网页,而受害者看到地址栏中的合法域名都标以认证标记。
本文作者通过该研究人员设置的 PoC 页面在 iOS 上测试了该 bug。该页面旨在从托管在 sh3ifu[.]com 上的 gmail[.]com 中加载内容,结果发现能够无缝运行。
尽管某些元素可能会导致可疑活动露馅,但即使是最敏锐的人也会被欺骗。例如,页面加载轮和地址条都可见,表明加载过程并未完成。然而,由于后台元素在加载阶段的优先级低,很多网站都会出现这种情况。用户不会读取这种情况而是选择继续登录。
在 Safari 上出现的唯一一个问题是,用户无法在页面仍然在加载的过程中输入字段。Baloch 表示他和团队仿照银行木马多年来的做法即在屏幕上注入虚假键盘的方式设法跳过了这个障碍。
Baloch 表示,苹果公司将在下一批的安全更新中公布修复方案。
关联阅读
原文链接
https://www.bleepingcomputer.com/news/security/apples-safari-falls-for-new-address-bar-spoofing-trick/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。