به گزارش
گرداب، یک پژوهشگر امنیتی دو کد اثبات مفهومی (PoC) ارائه کرده که در آنها دو آسیبپذیری در نسخه ۴۲,۱۷۱۳۴.۱.۰ مرورگر Edge و نسخه iOS ۱۱.۳.۱ مرورگر Safari مورد سوءاستفاده قرار گرفتند.
بطوریکه در این مرورگرها نوار آدرس دستکاری میشوند و قربانیان به گونهای فریب داده میشوند که تصور میکنند در حال بازدید از یک وبسایت رسمی هستند.
اپل به این پژوهشگر اعلام کرده که در بروزرسانی بعدی Safari (برای نسخه بتا iOS ۱۲) این مورد را برطرف خواهد کرد.
مایکروسافت نیز این آسیبپذیری (CVE-۲۰۱۸-۸۳۸۳) را در به روزرسانی ماه آگوست رفع کرده است.
هر دو آسیبپذیری در مرورگرهای Edge و Safari به جاوااسکریپت اجازه میدهند تا نوار آدرس مرورگر را هنگام بارگذاری صفحه به روزرسانی کنند.
پس از فریب قربانی از طریق آدرس، مهاجم میتواند وبسایت مدنظر را جعل کند و از طریق آن بدافزار را منتقل کند و یا اطلاعات احراز هویت قربانی یا سایر دادههای حساس را جمعآوری کند.
برای مثال مهاجم میتواند لینکی را به یک کاربر ارسال کند، وی را وادار کند تا روی آن کلیک کند و سپس با تکنیک جعل آدرس و وبسایت، اطلاعات او را به سرقت ببرد.
این آسیبپذیری در سایر مرورگرها، از جمله Chrome و Firefox مشاهده نشده است.