Apple Safariブラウザは、アドレスバーのなりすましの欠陥の影響を受ける可能性があります, セキュリティ研究者は言う. その結果として, スピアフィッシング攻撃やマルウェアの標的になる可能性があります.
研究によると, アドレスバーのなりすましの欠陥は、いくつかのモバイルブラウザに影響します, AppleSafariを含む, Opera Touch, UCWeb, ボルトブラウザ, Yandexブラウザ, およびRITSブラウザ. この発見は、パキスタンの研究者RafayBalochとサイバーセキュリティ会社Rapid7からのものです。. UCWebとBoltはまだパッチが適用されていないことに注意してください, OperaMiniは11月に修正されるはずです 11, 2020.
アドレスバーのなりすましの欠陥はどこにありますか?
もともとはiOSとMacの両方のSafariで発見されました, 欠陥「任意のポートを介して要求されたときにSafariがURLのアドレスバーを保持するために発生します," なので バローチは説明した. この問題は、ランダムなWebサイトで悪意のある実行可能JavaScriptコードを使用することによって発生します. このコードにより、攻撃者が選択した別のアドレスにページが読み込まれる間、ブラウザはアドレスを更新します。.
Rafayはまた、アドレスバーのなりすましの欠陥はデフォルトでSafariでより効果的であると言います, ブラウザはURLのポート番号を明らかにしないので「フォーカスがカーソルで設定されない限り、.」
言い換えると, 攻撃者は、悪意のあるWebサイトを配置し、被害者をだまして、なりすましの電子メールまたはテキストメッセージで送信されたリンクを開く可能性があります。. このアクションは、マルウェアの潜在的な被害者を奪うか、彼らの資格情報を盗むでしょう.
macOS上のSafariもこの欠陥に対して脆弱であることも注目に値します. 幸運, バグは先週のBigSurmacOSアップデートで修正されました.
Balochは、同様のなりすましの欠陥を発見しました。 2018
RafayBalochが人気のあるブラウザでアドレスバーのなりすましの欠陥を発見したのはこれが初めてではありません. の 2018, 研究者は次のように報告しました MicrosoftEdgeとSafariの両方が含まれています アドレスバーのなりすましの脆弱性. この声明は、彼が概念実証JavaScriptコードを使用してブラウザーをテストした後に作成されました。.
テストは、存在しないポート要求時に, メモリプロセスで競合状態がトリガーされ、悪意のあるコードがアドレスをスプーフィングできるようになりました. レポートに続いて, セキュリティアドバイザリが割り当てられました, と2つの会社に通知されました. この問題はCVE-2018-8383アドバイザリで追跡されました.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: