Apple Safari浏览器易受URL欺骗漏洞攻击

苹果Safari浏览器中发现了一个严重的安全漏洞，可能会诱使Safari用户访问带有真实网址的恶意网站。

 

两个，演示了当Safari浏览器连接到一个完全不同的地址时，黑客如何利用地址欺骗漏洞欺骗受害者，使其以为自己正在访问一个受信任的网站。

 

该漏洞可能会让攻击者将Safari用户带到恶意网站，而不是他们愿意连接的可信网站，以安装恶意软件并窃取其登录凭据。

 

该漏洞是由同一个组织发现的，该组织在今年2月报告了微软Internet Explorer所有最新修补版本中的一个通用跨站点脚本（XSS）缺陷，该缺陷将IE用户的凭据和其他敏感信息置于风险之中。

 

该组织最近发布了一个概念验证利用代码，使Safari web浏览器能够显示《每日邮报》的网站（dailymail.co.uk），尽管浏览器显示的是deusen的内容。

 

POC可以在苹果移动操作系统（iOS）和桌面操作系统（OSX）的全补丁版本上运行。

黑客可以利用该漏洞发动高度可信的网络钓鱼攻击，或劫持任何网站上的用户帐户。

 

黑客可以使用银行网站，然后注入流氓表单，要求用户提供私人财务信息，而不是每日邮报网站。

 

根据快速分析，演示页面似乎迫使Safari用户访问每日邮报URL，正如您在浏览器的用户界面中看到的那样。脚本会在加载页面之前快速加载另一个URL。

 

目前，苹果尚未确认该漏洞是否被野外的网络罪犯积极利用。然而，苹果尚未就此发表评论。