示意圖,與新聞事件無關。

Safari被爆有網址列欺騙(Address Bar Spoofing)漏洞未修補,可能害用戶連上惡意網站。

網址造假漏洞是一種理解競爭(race condition)型態的漏洞,原因是瀏覽器允許JavaScript在網頁完全載入之前更新網址列的內容。駭客利用setInterval函式造成的時間延遲,載入假網站的內容。

研究人員Rafa Baloch在微軟Microsoft Edge和蘋果Safari都成功複製此一漏洞。他在6月2 日向微軟及蘋果通報此一漏洞。不過只有微軟做出回應。微軟在8月14日的安全更新中修補編號CVE-2018-8383的Microsoft Edge漏洞。

蘋果Safari雖然防止用戶在網頁載入狀態下在輸入格中鍵入資訊,但是研究人員藉由輸入假鍵盤(類似螢幕鍵盤)可成功繞過這個機制。蘋果雖然在6月初接獲通知,但到了8月31日的90天期間仍然未修補。

因此此時Safari用戶有遭網釣攻擊的風險。蘋果預計要到下一次Safari 安全更新,才會修補本項漏洞。

就在昨天Google Chrome 69也因為隱藏版的URL顯示設計,引發安全研究人員批評可能讓使用者被導向假網站攻擊。


Advertisement

更多 iThome相關內容