عصر کالا- مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به آسیب پذیری از طریق جعل آدرس و سرقت اطلاعات برخی وبسایتها در مرورگرهای Edge و Safari هشدار داد.
به گزارش پایگاه خبری «عصر کالا» به نقل از مهر، یک پژوهشگر امنیتی دو کد اثبات مفهومی (PoC) ارائه کرده که در آنها دو آسیبپذیری در نسخه 42,17134.1.0 مرورگر Edge و نسخه iOS 11.3.1 مرورگر Safari مورد سوءاستفاده قرار گرفتند.
بطوریکه در این مرورگرها نوار آدرس دستکاری میشوند و قربانیان به گونهای فریب داده میشوند که تصور میکنند در حال بازدید از یک وبسایت رسمی هستند.
اپل به این پژوهشگر اعلام کرده که در بروزرسانی بعدی Safari (برای نسخه بتا iOS 12) این مورد را برطرف خواهد کرد.
مایکروسافت نیز این آسیبپذیری (CVE-2018-8383) را در به روزرسانی ماه آگوست رفع کرده است.
هر دو آسیبپذیری در مرورگرهای Edge و Safari به جاوااسکریپت اجازه میدهند تا نوار آدرس مرورگر را هنگام بارگذاری صفحه به روزرسانی کنند.
پس از فریب قربانی از طریق آدرس، مهاجم میتواند وبسایت مدنظر را جعل کند و از طریق آن بدافزار را منتقل کند و یا اطلاعات احراز هویت قربانی یا سایر دادههای حساس را جمعآوری کند.
برای مثال مهاجم میتواند لینکی را به یک کاربر ارسال کند، وی را وادار کند تا روی آن کلیک کند و سپس با تکنیک جعل آدرس و وبسایت، اطلاعات او را به سرقت ببرد.
این آسیبپذیری در سایر مرورگرها، از جمله Chrome و Firefox مشاهده نشده است.