ایتنا - مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به آسیب پذیری از طریق جعل آدرس و سرقت اطلاعات برخی وبسایتها در مرورگرهای Edge و Safari هشدار داد.
یک پژوهشگر امنیتی دو کد اثبات مفهومی (PoC) ارائه کرده که در آنها دو آسیبپذیری در نسخه ۴۲,۱۷۱۳۴.۱.۰ مرورگر Edge و نسخه iOS ۱۱.۳.۱ مرورگر Safari مورد سوءاستفاده قرار گرفتند.
بطوریکه در این مرورگرها نوار آدرس دستکاری میشوند و قربانیان به گونهای فریب داده میشوند که تصور میکنند در حال بازدید از یک وبسایت رسمی هستند.
به گزارش ایتنا از مهر، اپل به این پژوهشگر اعلام کرده که در بروزرسانی بعدی Safari (برای نسخه بتا iOS ۱۲) این مورد را برطرف خواهد کرد.
مایکروسافت نیز این آسیبپذیری (CVE-2018-8383) را در به روزرسانی ماه آگوست رفع کرده است.
هر دو آسیبپذیری در مرورگرهای Edge و Safari به جاوااسکریپت اجازه میدهند تا نوار آدرس مرورگر را هنگام بارگذاری صفحه به روزرسانی کنند.
پس از فریب قربانی از طریق آدرس، مهاجم میتواند وبسایت مدنظر را جعل کند و از طریق آن بدافزار را منتقل کند و یا اطلاعات احراز هویت قربانی یا سایر دادههای حساس را جمعآوری کند.
برای مثال مهاجم میتواند لینکی را به یک کاربر ارسال کند، وی را وادار کند تا روی آن کلیک کند و سپس با تکنیک جعل آدرس و وبسایت، اطلاعات او را به سرقت ببرد.
این آسیبپذیری در سایر مرورگرها، از جمله Chrome و Firefox مشاهده نشده است.