セキュリティ研究者は、iOS 用 Safari および Microsoft の Edge ブラウザで Web サイトのアドレスが偽装される可能性がある問題を明らかにしました。その後、Microsoft はこの欠陥を修正しましたが、Apple が Safari をアップデートしたかどうかは不明で、iOS ブラウザが攻撃に対して脆弱なままになる可能性があります。 。
研究者の Rafay Baloch 氏は、この脆弱性には、アドレス バーに特定の URL を表示しながら 1 セットのコンテンツをロードし、URL をまったく更新せずにページ本文のコードを書き換える特別に作成された Web ページが関係していると説明しています。レポート レジスター。
現在特定されているなりすましの欠陥CVE-2018-8383Edge に関しては、ページの読み込み中に JavaScript がアドレス バーを更新できるようになったと Baloch 氏は述べています。データが「存在しないポート」から要求された場合、アドレスは保持されますが、「存在しないポートから要求されたリソースに対する競合状態と setInterval 関数によって引き起こされる遅延の組み合わせ」により、なりすましが可能でした。
これにより、エンド ユーザーにとっては、悪意のあるページに、正しい URL のように見える本物の Web サイト ページが表示される可能性があります。これは、実際の認証要求であるかのように見せかけて、サービスの偽のログイン ページをユーザーに提示する攻撃に悪用される可能性があります。
ブラウザーのクローズド ソースの性質により、iOS 用 Safari と Edge がこの問題の影響を受ける理由は不明ですが、Chrome と Firefox は影響を受けません。
この脆弱性は 6 月 2 日に Apple と Microsoft の両方に報告され、Baloch は公開前に修正プログラムを作成するために 90 日間の期限を設けましたが、これはセキュリティ研究者による典型的な方針です。 8 月 11 日、90 日の期限についての通知が発行され、Microsoft は 8 月 14 日の「パッチ チューズデー」の一環として修正プログラムをリリースしました。
Baloch は 9 月 10 日にこの欠陥の詳細を発表したが、Apple はまだこの欠陥が修正されたことを公に、あるいは研究者に確認していない。その結果、Baloch はこの欠陥について公然と議論していますが、そのようなパッチがリリースされるまでは概念実証コードを公開しません。
AppleInsiderは、この欠陥とそれを修正するためのアップデートの状況について Apple に連絡しました。
Isamu 
Isamu 
Isamu