当心未修补的Safari浏览器黑客让攻击者伪造URL

作为每月安全更新的一部分，微软上月修复了地址栏URL欺骗漏洞，但Safari仍未修补，这可能会让苹果用户容易受到网络钓鱼攻击。

如今的网络钓鱼攻击非常复杂，越来越难以发现，而这个新发现的漏洞将其提升到另一个级别，可以绕过URL和SSL等基本指标，这是用户检查网站是否虚假的第一件事。

该漏洞（CVE-2018-8383）由巴基斯坦安全研究人员Rafay Baloch发现，是由于网页浏览器允许JavaScript在加载网页时更新URL栏中的网页地址而导致的种族条件类型问题。

以下是URL欺骗漏洞的工作原理

成功利用该漏洞可能会让攻击者最初开始加载合法页面，这将导致页面地址显示在URL栏中，然后迅速用恶意代码替换网页中的代码。

“在从不存在的端口请求数据时，地址被保留，因此，由于对从不存在的端口请求的资源的竞争条件，再加上setInterval函数引发的延迟，设法触发地址栏欺骗，”Baloch在他的博客上解释道。

它使浏览器保留地址栏，并从欺骗页面加载内容。然而，浏览器最终将加载资源，但是setInterval函数引起的延迟足以触发地址栏欺骗

由于地址栏中显示的URL不变，即使是受过培训的用户也很难检测到网络钓鱼攻击。

利用此漏洞，攻击者可以模拟任何网页，包括Gmail、Facebook、Twitter，甚至银行网站，并创建虚假登录屏幕或其他表单，从在地址栏中看到合法域的用户那里窃取凭据和其他数据。

Baloch创建了一个概念验证（PoC）页面来测试该漏洞，并观察到Microsoft Edge和Apple Safari浏览器都“允许javascript在页面仍在加载时更新地址栏”

概念验证视频演示

研究人员还为Edge和Safari发布了概念验证视频： 据Baloch称，Google Chrome和Mozilla Firefox浏览器均不受此漏洞的影响。

虽然微软已经在上个月通过2018年8月的补丁周二更新解决了这个问题，但Baloch还没有得到苹果对他在6月2日向公司报告的漏洞的回应。

研究人员仅在90天的披露窗口期后才披露了Edge的漏洞和概念验证（PoC）代码的完整技术细节，但他持有Safari的概念验证代码，直到苹果在即将发布的Safari版本中修补该问题。