安全動態(tài)

微軟和蘋果瀏覽器漏洞:不改變地址即可改變網(wǎng)頁內(nèi)容

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2018-09-12    瀏覽次數(shù):
 

信息來源:hackernews

新浪科技訊 北京時間9月12日早間消息,據(jù)美國科技媒體The Register報道,安全研究人員發(fā)現(xiàn)Edge和Safari瀏覽器存在漏洞,惡意者可以利用漏洞發(fā)起攻擊,在不改變地址的情況下改變網(wǎng)頁內(nèi)容。

安全研究人員拉菲·巴羅奇(Rafay Baloch)指出,微軟已經(jīng)用補(bǔ)丁修復(fù)漏洞,不過蘋果行動遲緩,所以目前Safari仍然不安全。

通過漏洞,攻擊者可以加載合法頁面,讓網(wǎng)頁地址在地址欄顯示,然后快速將頁面內(nèi)的代碼轉(zhuǎn)換為惡意代碼,地址欄中的URL地址無需改變。這樣一來,攻擊者可以創(chuàng)建虛假登錄屏幕或者其它表格,收集用戶名、密碼及其它數(shù)據(jù),用戶很難區(qū)分真假,他們會認(rèn)為自己登錄的頁面是真實(shí)的。

瀏覽器的源碼是封閉的,巴羅奇不清楚Edge和Safari存在該漏洞,但Chrome和火狐沒有的原因。照他的猜測,瀏覽器決定何時顯示頁面地址可能是問題的關(guān)鍵。巴羅奇說:“不同的瀏覽器處理導(dǎo)航的手法并不一樣,當(dāng)頁面正在加載時,Safari、Edge瀏覽器允許代碼更新。瀏覽器可以允許地址欄在頁面完全加載之后更新一次,這樣就可以解決問題了?!?

微軟目前已經(jīng)修復(fù)漏洞。6月2日巴羅奇向蘋果提交報告,至今還沒有修復(fù)。按照慣例有90天的時間窗口,巴羅奇說他會披露漏洞,但是在蘋果發(fā)布補(bǔ)丁之前不會公開代碼。

 
 

上一篇:2018年中國國際信息通信展月底開幕

下一篇:2018年09月12日 聚銘安全速遞