Браузери Edge і Safari вразливі перед підробкою даних в рядку адреси

Наш общий бизнес-фронт BIKINIKA.com.ua

Незалежний ІБ-експерт Рафал балоч (Rafay Baloch) виявив , Що браузери Edge і Safari вразливі перед проблемою підробки даних в рядку адреси. І якщо інженери Microsoft прислухалися до попередження фахівця і усунули пролом ще в серпні поточного року, присвоївши їй ідентифікатор CVE-2018-8383 , То для Safari проблема як і раніше актуальна. Балоч пише, що повідомив Apple про баг 2 червня 2018 року. Так як покладені 90 днів минули понад тиждень тому, експерт вирішив опублікувати інформацію про проблему.

У своєму блозі фахівець пояснює, що проблема пов'язана з виникненням стану гонки (race condition) і, по суті, потенційному зловмиснику потрібно лише заманити жертву на спеціально створену сторінку. Після цього в браузері будуть завантажені нібито легітимного ресурсу, атакуючому потрібно дочекатися появи легітимного URL в рядку адреси, а потім «на льоту» модифікувати код сторінки на шкідливий, при цьому не змінюючи URL. Теоретично це дозволяє створювати фальшиві сторінки логіна і інші форми, що дозволить викрасти облікові дані користувачів, які будуть впевнені, що працюють з легітимним сайтом.

Так, журналісти Bleeping Computer протестували запропоновану фахівцем proof-of-concept сторінку на iOS. Як видно на ілюстрації нижче, PoC працює відмінно: сайт, який виглядає як gmail [.] Com, насправді є sh3ifu [.] Com.

] Com

У блозі дослідник також опублікував відеодемонстрації атак на обидва браузера, ці ролики можна побачити нижче.

BIKINIKA.com.ua
Наш общий бизнес-фронт BIKINIKA.com.ua. Казино "Buddy.Bet" обещает вам море азарта и незабываемых моментов. Поднимите ставки и начните выигрывать прямо сейчас.

We have 4 guests online