Microsoft和Apple Browser漏洞:更改Web内容而不更改地址

时间: 2018-09-12 12:40:57 作者: 管理员

新浪科技讯北京时间9月12日上午消息,据美国科技媒体The Register报道,安全研究人员发现Edge和Safari浏览器存在漏洞,恶意攻击者可以使用该漏洞发动攻击,更改页面而不更改地址内容。

安全研究员Rafay Baloch指出,微软用补丁修补了这个漏洞,但Apple速度很慢,因此Safari仍然不安全。
通过此漏洞,攻击者可以加载合法页面,在地址栏中显示页面地址,然后快速将页面中的代码转换为恶意代码。地址栏中的URL地址不需要更改。通过这种方式,攻击者可以创建虚假的登录屏幕或其他表单来收集用户名,密码和其他数据。用户很难区分真假,他们会认为他们登录的页面是真实的。
浏览器的源代码已关闭,而Baroque并未发现Edge和Safari中的漏洞,但Chrome和Firefox则没有。根据他的猜测,浏览器决定何时显示页面地址可能是问题的关键。 Barrochi说:“不同的浏览器处理导航的方式不同.Safari和Edge浏览器允许在页面加载时进行代码更新。浏览器可以在页面完全加载后更新地址栏,以便解决问题。”
微软现已修复此漏洞。 6月2日,Barroci向Apple提交了一份报告,该报告尚未修复。按照惯例,有一个90天的窗口,巴洛克表示他将披露这个漏洞,但在Apple发布补丁之前不会透露这些漏洞。