В Safari обнаружена уязвимость, позволяющая осуществить подмену URL-адреса

Stfw.Ru: Брешь может быть проэксплуатирована даже на полностью исправленных версиях iOS и OS X.
Компания Deusen обнаружила уязвимость в браузере Apple Safari, позволяющую осуществить подмену (спуфинг) URL-адреса. Речь идет как о мобильной (iOS), так и настольной (OS X) версии интернет-обозревателя, сообщает эксперт по безопасности Пьерлуиджи Паганини (Pierluigi Paganini).
Эксплуатация уязвимости позволяет злоумышленникам перенаправлять пользователей браузера на вредоносные web-сайты без их ведома, при этом адресная строка будет отображать именно тот ресурс, на который жертва хотела попасть. Опасность заключается в том, что ничего не подозревающий пользователь может оставить на таком «зеркале» важную конфиденциальную информацию, в том числе данные кредитной карты. Как пояснили исследователи, брешь может быть проэксплуатирована даже на полностью исправленных версиях iOS и OS X.
В качестве примера специалисты продемонстрировали специально созданную ими страницу, ведущую на официальный сайт их компании. В то время как в Google Chrome и других браузерах адресная строка показывает правильную информацию, то в Safari на iOS 8 и OS X Yosemite в ней значится адрес популярного издания The Daily Mail (dailymail.co.uk). Исследователи также опубликовали код эксплоита:
<script> function f() { location="dailymail.co.uk/home/index.htm…"+Math.random(); } setInterval("f()",10); </script>
По мнению Паганини, эта уязвимость предоставляет злоумышленникам немало возможностей для осуществления фишинговых кампаний или перенаправления пользователей на ресурсы, содержащие вредоносное ПО.

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор В Safari обнаружена уязвимость, позволяющая осуществить подмену URL-адреса, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Приложение YouTube теперь масштабирует видео для дисплеев с соотношением сторон, отличным от 16:9 - 18.11.2017: STFW.Ru: В последнее время производители смартфонов всё чаще выпускают устройства с


•  Представлено мобильное приложение «Карточка киевлянина»: с мессенджером и четырьмя функциональными модулями - 18.11.2017: STFW.Ru: 16 ноября в рамках проведения всемирной конференции Smart City Expo World Congress 2017 (SCEWC)


•  Xiaomi начнёт официальные продажи смартфона Mi Mix 2 в Украине по цене 14 999 грн - 18.11.2017: STFW.Ru: Компания Xiaomi сообщила о начале официальных поставок в Украину смартфона Mi Mix


•  Samsung продолжит использовать тепловые трубки в смартфонах в 2018 году, а с 2019 может перейти на испарительные камеры - 18.11.2017: STFW.Ru: Компания Samsung впервые начала использовать тепловые трубки для охлаждения


•  Monobank выпустил общедоступную версию мобильного приложения для Android-смартфонов, но закрытое бета-тестирование новых версий продолжится - 18.11.2017: STFW.Ru: Как и было обещано, сегодня мобильный банк Monobank вышел из режима


•  HTC будет продавать наборы из аксессуаров и трекеров Vive, которые позволят “перенести” реальные предметы в виртуальный мир - 18.11.2017: STFW.Ru: Компания HTC анонсировала, что скоро выпустит в свободную продажу наборы