You are here
Home > Novosti > Oprez! Ranjivost u preglednicima Safari i Edge omogućava lažiranje URL-a

Oprez! Ranjivost u preglednicima Safari i Edge omogućava lažiranje URL-a

Sigurnosni su stručnjaci otkrili kritičnu ranjivost koja omogućava napadačima lažiranje adrese internetskih stranica u preglednicima Microsoft Edge za operacijski sustav Windows i Apple Safari za operacijski sustav iOS.

 

Iako je Microsoft otklonio mogućnost lažiranja adrese u sklopu svojih mjesečnih sigunosnih zakrpa, Apple isto nije napravio te je Safari još uvijek ranjiv na phishing napade.

 

Phishing napadi su danas sve sofisticiraniji te ih je sve teže uočiti, a ova novo otkrivena ranjivost dodatno otežava detekciju jer zaobilazi osnovne mehanizme za detekciju kao što su URL i SSL.

 

Ranjivost CVE-2018-8383 otkrio je pakistanski sigurnosni stručnjak Rafay Baloch koji smatra kako je ranjivost prouzrokovana promjenom međurezultata operacije radi utjecanja na konačnu izlaznu vrijednost operacije.

 

Uspješno iskorištavanje spomenute ranjivosti moglo bi napadačima omogućiti da pokrenu učitavanje legitimne stranice čija bi se adresa prikazivala u adresnom polju te zamijene te legitimne stranice zlonamjernom.

 

Kako se adresa ne mijenja nakon ubacivanja zlonamjerne stranice, ovakav bi phishing napad bilo teško primijetiti i naprednom korisniku.

 

Koristeći ovu ranjivost, napadač može lažirati bilo koju stranicu, što može uključivati Gmail, Facebook, Twitter ili čak stranice banaka, te kreirati lažne stranice za prijavu te ukrasti povjerljive podatke korisnika.

 

Baloch je objavio proof-of-concept (PoC) dokument u kojem detaljnije obrađuje ranjivost, a u kojem navodi kako Microsoft Edge i Apple Safati preglednici “omogućavaju javascript-u izmjenu adresnog polja dok se stranica još učitava”.

 

Prema Balochu, preglednici Google Chrome i Mozilla Firefox nisu zahvaćeni ovom ranjivošću.

Top
More in Novosti
PREGLED TJEDNIH NOVOSTI O ZLONAMJERNOM RANSOMWARE SADRŽAJU #22

2. rujna 2018. godine   Ransomware Barack Obama's Blackmail Virus šifrira samo izvršne (.EXE) datoteke Povremeno se dogodi da naiđemo na...

Close