آسیبپذیری جعل آدرس وبسایت در مرورگرهای Edge و Safari شناسایی شد.
منبع : مرکز مدیریت راهبردی افتا
آسیبپذیری جعل آدرس وبسایت در مرورگرهای Edge و Safari شناسایی شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک پژوهشگر امنیتی دو کد اثبات مفهومی (PoC) ارائه کردهاست که در آنها دو آسیبپذیری در نسخه ۴۲,۱۷۱۳۴.۱.۰ مرورگر Edge و نسخه iOS ۱۱.۳.۱ مرورگر Safari مورد سوءاستفاده قرار گرفتند بهطوری که در این مرورگرها نوار آدرس دستکاری میشوند و قربانیان بهگونهای فریب دادهمیشوند که تصور میکنند در حال بازدید از یک وبسایت رسمی هستند.
اپل به این پژوهشگر اعلام کردهاست که در بهروزرسانی بعدی Safari (برای نسخه بتا iOS ۱۲) این مورد را برطرف خواهدکرد. مایکروسافت نیز این آسیبپذیری (CVE-۲۰۱۸-۸۳۸۳) را در بهروزرسانی ماه آگوست رفع کردهاست. هر دو آسیبپذیری در مرورگرهای Edge و Safari به جاوااسکریپت اجازه میدهند تا نوار آدرس مرورگر را هنگام بارگذاری صفحه بهروزرسانی کنند.
مهاجم پس از فریب قربانی از طریق آدرس، میتواند وبسایت موردنظر را جعل کند و بدافزار را از طریق آن منتقل کند و یا اطلاعات احراز هویت قربانی یا سایر دادههای حساس را جمعآوری کند. برای مثال مهاجم میتواند لینکی را به یک کاربر ارسال کند، وی را وادار کند تا روی آن کلیک کند و سپس اطلاعات او را با تکنیک جعل آدرس و وبسایت به سرقت ببرد.
این آسیبپذیری در سایر مرورگرها ازجمله Chrome و Firefox مشاهده نشدهاست.