Pas på! Unpatched Safari browseren Hack lader angribere Spoof webadresser

URL Spoofing Vulnerability

 

En sikkerhedsekspert har opdaget en alvorlig sikkerhedsrisiko, der kan tillade angribere at spool hjemmeside adresser i Microsoft Edge webbrowser til Windows og Apple Safari til iOS.

Mens Microsoft fast adresse bar URL spoofing sårbarhed sidste måned som led i sin månedlige sikkerhedsopdateringer, Safari er stadig unpatched, potentielt forlader Apple brugere sårbare over for phishing-angreb.

Phishing-angreb i dag er sofistikeret og stadig vanskeligere at stedet, og denne nyligt opdagede sårbarhed tager det til et andet niveau, der kan omgå grundlæggende indikatorer som URL og SSL, som er de første ting en bruger kontrol for at afgøre, om et websted er falsk.

Opdaget af Pakistan-baseret Sikkerhedsforsker Rafay Baloch, er sårbarhed (CVE-2018-8383) på grund af en race condition type problem forårsaget af webbrowser tillade JavaScript til at opdatere sideadresse i URL-baren, mens siden indlæses.

Her er hvordan URL Spoofing sårbarhed virker

Succesfuld udnyttelse af fejl kan potentielt give en hacker først starte indlæsning af en legitim side, som ville forårsage sideadresse skal vises i URL advokatstanden, og derefter hurtigt udskifte kode på websiden med en skadelig.

“Ved anmodning om data fra en ikke-eksisterende port adressen blev bevaret og dermed en på grund af race tilstand over en ressource, der anmodes om fra ikke-eksisterende port kombineret med forsinkelsen induceret af setInterval funktion formået at udløse adresse bar spoofing,” Baloch forklarer på sin blog.

“Det får browseren til at bevare den henvende advokatstanden og indlæse indholdet fra siden misvisende. Browseren vil dog i sidste ende indlæse ressourcen, men forsinkelsen induceret med setInterval funktion ville være nok til at udløse henvende advokatstanden spoofing.”

Da URL-adressen vises i adresselinjen, ikke ændrer, ville phishing-angreb være svært for selv en trænet bruger til at registrere.

Ved hjælp af denne svaghed, en hacker kan efterligne enhver webside, herunder Gmail, Facebook, Twitter eller endda bank hjemmesider, og oprette falske login skærme eller andre former for at stjæle legitimationsoplysninger og andre data fra brugere, der ser den legitimt domæne i adresselinjen.

Baloch skabt en proof-of-concept (PoC) side for at teste sårbarhed, og bemærkede, at både Microsoft Edge og Apple Safari browsere “tilladt javascript til at opdatere den henvende advokatstanden, mens siden stadig ladning.”

Bevis-af konceptet Video demonstrationer

Forskeren har også offentliggjort bevis for konceptet videoer for både kant og Safari:

 

Ifølge Baloch påvirkes både Google Chrome og Mozilla Firefox browsere ikke af denne sårbarhed.

Mens Microsoft havde allerede lappet spørgsmålet sidste måned med Patch Tirsdag opdateringer til August 2018, Baloch har endnu at få et svar fra Apple om de fejl, han rapporterede til virksomheden tilbage på 2 juni.

Forskeren videregivet de fulde tekniske detaljer af sårbarhed og proof-of-concept (PoC) kode til kanten kun efter vinduet 90-day offentliggørelse, men han holder proof of concept-kode for Safari indtil Apple lapper den spørgsmålet i den kommende version af Safari.