Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Поисковики Edge и Safari уязвимы перед подделкой данных в строке адреса

Поисковики Edge и Safari уязвимы перед подделкой данных в строке адреса


13.09.2018

Независимый ИБ-эксперт Рафай Балоч (Rafay Baloch) обнаружил, что браузеры Edge и Safari уязвимы перед проблемой подделки данных в строке адреса. И если инженеры Microsoft прислушались к предупреждению специалиста и устранили брешь еще в августе текущего года, присвоив ей идентификатор CVE-2018-8383, то для Safari проблема по-прежнему актуальна. Балоч пишет, что уведомил Apple о баге 2 июня 2018 года. Так как положенные 90 дней истекли больше недели назад, эксперт решил опубликовать информацию о проблеме.

В своем блоге специалист объясняет, что проблема связана с возникновением состояния гонки (race condition) и, в сущности,  потенциальному злоумышленнику нужно лишь заманить жертву на специально созданную страницу. После этого в браузере начнется загрузка якобы легитимного ресурса, атакующему нужно дождаться появления легитимного URL в строке адреса, а затем "на лету" модифицировать код страницы на вредоносный, при этом не изменяя URL. Теоретически это позволяет создавать фальшивые страницы логина и другие формы, что позволит похитить учетные данные пользователей, которые будут уверены, что работают с легитимным сайтом.

Так, журналисты Bleeping Computer протестировали предложенную специалистом proof-of-concept страницу на iOS. Как видно на иллюстрации ниже, PoC работает отлично: сайт, который выглядит как gmail[.]com, на самом деле является sh3ifu[.]com.

В блоге исследователь также опубликовал видеодемонстрации атак на оба браузера, эти ролики можно увидеть ниже.

Поисковики Edge и Safari уязвимы перед подделкой данных в строке адреса

Хакер


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.