三個多月前,安全研究人員Rafay Baloch在微軟Edge和蘋果公司的Safari瀏覽器,發現關於用戶以為自己瀏覽正確網址,但事實上黑客已用漏洞發起攻擊,在不改變網址下用戶正瀏覽黑客修改後的內容。在發現漏洞後,即時向微軟及APPLE反應,然而微軟已經以更新補丁修復漏洞(代號CVE-2018-8383),而Apple卻遲遲未有動作。按業界慣例,在向相關的科技公司報告安全漏洞的90日之後,就決定正式對外公開漏洞訊息,以提醒Safari用戶要提高警愓。
根據Rafay Baloch的介紹,當用戶瀏覽網站加載頁面時,黑客會利用漏洞,讓網址在地址欄顯示不變下,就將頁面內的程式碼,轉換成惡意的指令,以此創建虛假登錄介面及其他需要密碼輸入的畫面,讓用戶真假難分,錯認情況下洩漏自己的用戶名、密碼及其它數據。
到目前為止,Rafay Baloch仍然覺得意外,原因是竟然在Edge和Safari存在該漏洞,但Chrome和火狐卻沒有。而這原因,Baloch就指出,可能是因為「不同的瀏覽器處理導航的手法並不一樣,Safari、Edge瀏覽器在加載內容的過程中,會容許代碼更新。」而要修補這種漏洞也不難,只要使瀏覽器的在頁面完全加載之後,才進行更新內容便可解決漏洞。」
然而,微軟在短時間就修復,但APPLE卻至今還沒有修復就讓人覺得奇怪。雖然蘋果公司的動作如此緩慢,Rafay Baloch也沒有公佈有關發起攻擊的概念驗證編碼,其還在等待蘋果公司對Safari瀏覽器的漏洞進行修補。在蘋果未公佈的更新前,iPhone等蘋果用戶在使用Safari時要小心,最好先使用CHROME或FIREFOX等瀏覽器去進行登錄等動作,以免增加密碼外洩的風險。
來源:rafaybaloch