Votre navigateur Apple Safari peut être affecté par une faille d'usurpation de la barre d'adresse, les chercheurs en sécurité disent. En tant que résultat de celui-ci, vous pouvez être ciblé par des attaques de spear-phishing et des logiciels malveillants.
Selon les recherches, une faille d'usurpation de la barre d'adresse affecte plusieurs navigateurs mobiles, y compris Apple Safari, Opera Touch, UCWeb, Navigateur de boulons, Yandex Browser, et navigateur RITS. La découverte vient du chercheur pakistanais Rafay Baloch et de la société de cybersécurité Rapid7. Notez que UCWeb et Bolt ne sont toujours pas corrigés, alors qu'Opera Mini devrait être corrigé en novembre 11, 2020.
Où réside la faille d'usurpation de la barre d'adresse?
Découvert à l'origine dans Safari pour iOS et Mac, la faille "se produit en raison du fait que Safari conserve la barre d'adresse de l'URL lorsqu'elle est demandée sur un port arbitraire,"Comme Baloch expliqué. Le problème est dû à l'utilisation de code JavaScript exécutable malveillant sur un site Web aléatoire. Le code oblige le navigateur à mettre à jour l'adresse pendant que la page se charge sur une autre adresse choisie par les attaquants.
Rafay dit également que la faille d'usurpation de la barre d'adresse est plus efficace dans Safari par défaut, car le navigateur ne révèle pas le numéro de port dans l'URL "à moins que et jusqu'à ce que le focus soit défini via le curseur."
En d'autres termes, les acteurs de la menace peuvent organiser un site Web malveillant et inciter la victime à ouvrir le lien envoyé dans un e-mail ou un SMS falsifié. Cette action entraînerait la victime potentielle d'un logiciel malveillant ou lui volerait ses informations d'identification.
Il est également à noter que Safari sur macOS est également vulnérable à cette faille. Heureusement, le bogue a été corrigé dans une mise à jour macOS de Big Sur la semaine dernière.
Baloch a découvert une faille d'usurpation similaire dans 2018
Ce n'est pas la première fois que Rafay Baloch découvre des failles d'usurpation de la barre d'adresse dans les navigateurs populaires. Dans 2018, le chercheur a rapporté que Microsoft Edge et Safari contenus une vulnérabilité d'usurpation de la barre d'adresse. La déclaration a été faite après avoir testé les navigateurs avec une preuve de concept du code JavaScript.
Les tests ont indiqué que sur une demande de port inexistante, une condition de concurrence a été déclenchée dans le processus de mémoire, permettant à un code malveillant d'usurper l'adresse. Suite au rapport, un avis de sécurité a été attribué, et les deux sociétés ont été notifiées. Le problème a été suivi dans l'avis CVE-2018-8383.