В Safari обнаружена уязвимость, позволяющая осуществить подмену URL-адреса
Брешь может быть проэксплуатирована даже на полностью исправленных версиях iOS и OS X.
Компания Deusen обнаружила уязвимость в браузере Apple Safari, позволяющую осуществить подмену (спуфинг) URL-адреса. Речь идет как о мобильной (iOS), так и настольной (OS X) версии интернет-обозревателя, сообщает эксперт по безопасности Пьерлуиджи Паганини (Pierluigi Paganini).
Эксплуатация уязвимости позволяет злоумышленникам перенаправлять пользователей браузера на вредоносные web-сайты без их ведома, при этом адресная строка будет отображать именно тот ресурс, на который жертва хотела попасть. Опасность заключается в том, что ничего не подозревающий пользователь может оставить на таком «зеркале» важную конфиденциальную информацию, в том числе данные кредитной карты. Как пояснили исследователи, брешь может быть проэксплуатирована даже на полностью исправленных версиях iOS и OS X.
В качестве примера специалисты продемонстрировали специально созданную ими страницу, ведущую на официальный сайт их компании. В то время как в Google Chrome и других браузерах адресная строка показывает правильную информацию, то в Safari на iOS 8 и OS X Yosemite в ней значится адрес популярного издания The Daily Mail (dailymail.co.uk). Исследователи также опубликовали код эксплоита:
<script> function f() { location="dailymail.co.uk/home/index.htm…"+Math.random(); } setInterval("f()",10); </script>
По мнению Паганини, эта уязвимость предоставляет злоумышленникам немало возможностей для осуществления фишинговых кампаний или перенаправления пользователей на ресурсы, содержащие вредоносное ПО.
Суды может накрыть волна исков от жертв "блокировки за компанию" Google накрыла волна запросов на удаление ссылок на пиратский контент. Ежеминутно компания получает 1500 таких требований. В Microsoft Bing добавлены инструменты кодировки HTML, URL и Base64 В соцсети «Вконтакте» появился официальный аккаунт Google Twitter заплатил IBM 36 миллионов долларов Появилась новая угроза для Android-устройств в России В Гугл поступает более 1 млн запросов на удаление пиратских URL в день Dropbox сливал кому попало секретные URL через referer Газета не для интернета Google включит в поисковые результаты данные об источнике информации
Обратная связь