Исследователь в сфере информационной безопасности Рафэй Балух (Rafay Baloch) обнаружил уязвимость в браузерах компаний Microsoft и Apple. Брешь позволяла злоумышленникам незаметно подменять веб-страницы во время загрузки. Патч для Microsoft Edge уже вышел, но баг в Safari все еще не исправлен.

Уязвимость получила идентификатор CVE-2018-8383. Воспользовавшись ею, киберпреступник мог в момент загрузки сайта отправить запрос на несуществующий порт и вызвать «состояние гонки», в результате которого под URL легитимной веб-страницы откроется ее вредоносный клон.

Такая подмена позволяет злоумышленникам красть учетные данные пользователей: жертва будет уверена, что находится на настоящей странице авторизации, поскольку в адресной строке сохраняется правильный URL.

Почему один и тот же баг обнаружился в Safari и Microsoft Edge, Балух не может сказать наверняка: доступ к исходному коду обоих браузеров закрыт. Однако, по словам исследователя, проблему можно решить, запретив изменять адрес, по которому находится запрашиваемый ресурс, до завершения процесса загрузки.

Эксперт уведомил обоих производителей об уязвимостях еще 2 июня. По его словам, Microsoft исправила баг в рамках августовского вторника патчей, тогда как Apple до сих пор не отреагировала на сообщение о проблеме. Поскольку стандартные 90 дней с момента обнаружения бреши уже прошли, исследователь решил опубликовать ее описание с видеоиллюстрациями, однако не стал выкладывать в Сеть PoC-код.

Балух занимается проблемой URL-спуфинга не первый год. Еще в 2016-м эксперт обнаружил баг в браузерах Chrome и Firefox, позволяющий злоумышленникам переворачивать URL-адреса при помощи определенных Unicode-символов. Также он опубликовал целое исследование, посвященное методам спуфинга адресной строки.

Категории: Уязвимости