Un grave problème a été identifié dans les navigateurs Microsoft et Safari Bord comme ils ont été trouvés pour permettre l'usurpation d'identité de barre d'adresse. Cette vulnérabilité permet à un code malveillant de rediriger les utilisateurs et conduire à des infections virales potentielles.
Barre d'adresse Spoofing vulnérabilité affectant Microsoft Edge et Safari
Un spécialiste de la sécurité basé au Pakistan Rafay Baloch a rapporté que les deux Microsoft Edge et Safari possèdent une barre d'adresse de l'usurpation d'identité vulnérabilité. La déclaration a été faite après avoir testé les navigateurs avec une preuve de concept du code JavaScript. Les tests indiquent que sur une demande d'un port non existant une condition de course est déclenchée dans le processus de mémoire qui permet le code malveillant d'usurper l'adresse. A la suite du rapport d'un avis de sécurité a été affecté et les deux sociétés ont été notifiées. La question est suivi dans CVE-2018-8383 et sa description lit ce qui suit:
Une vulnérabilité d'usurpation de contenu existe lorsque Microsoft Edge ne traite pas correctement le contenu HTTP, alias “Vulnérabilité Microsoft bord Spoofing.” Cela affecte Edge Microsoft. Cet ID CVE est unique de CVE-2018-8388.
L'abus de cette faille peut être être fait par interaction dangereuse script. Un plugin site web (Adobe Flash par exemple) peut déclencher la condition de course en incluant le code JavaScript. Cela peut être automatique ou en raison de l'interaction utilisateur. Microsoft a corrigé le bug de la mise à jour mardi Août Patch. Selon leurs propres recherches, il est probable que les pirates vont tenter et d'exploiter la vulnérabilité de Microsoft bord. Il y a beaucoup de transporteurs de charge utile qui peut inclure du code JavaScript et cela est une préoccupation légitime.
Le même problème a été observé dans Safari - les mesures de sécurité habituelles peuvent être contournés en injectant du code spécifique. Apple a été donné 90 jours pour corriger la vulnérabilité mais ils ne sont pas patché en temps utile. En tant que les détails de conséquence sur la question sont maintenant accessibles au public.
Le navigateur lui-même ne permet pas aux victimes de taper les données utilisateur dans des boîtes d'entrée tandis que les pages se chargent. Ce sont les mesures de protection par défaut mais le code preuve de concept montre clairement que ces restrictions peuvent être contournées. Cela se fait en simulant l'entrée du clavier dans la page falsifiée.
A la fin de la vulnérabilité de la barre d'adresse de l'usurpation d'identité les criminels peuvent rediriger les victimes vers une page contrôlée hacker-prédéfini. Elle peut conduire à l'une de ces dangers:
- Livraison Malware Virus - Les pages peuvent déclencher une livraison de fichiers de virus automatique. Lors de l'interaction avec l'élément malveillant les utilisateurs eux-mêmes infecter avec la charge utile utile: ransomware, Troyen, mineur et etc.
- Script Redirect - Le code spoof peut être utilisé pour rendre les utilisateurs visitent une page infestée ad. Cela peut également déclencher l'ouverture des bannières, pop-ups, etc et réoriente. Chaque visite se traduira par la génération de revenus pour les opérateurs.
- Infection Miner - Dans plusieurs cas, les objectifs finaux sont des infections de mineurs crypto-monnaie. Ils profitent des ressources système disponibles afin d'effectuer des calculs complexes. Quand ils sont terminés avec succès par les hôtes de la monnaie numérique sera automatiquement crédité aux opérateurs de pirates informatiques.
Jusqu'à présent, les incidents majeurs n'ont pas été signalés. Encore une fois, nous vous recommandons vivement que tous les utilisateurs de Microsoft Windows appliquent les dernières mises à jour de sécurité et que Apple sortira un patch le plus rapidement possible pour remédier à la vulnérabilité.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: