Falha de segurança afeta Apple Safari e Microsoft Edge
Identificada falha de segurança “Address Bar Spoofing”, em tradução livre falsificação da barra de endereços, no Apple Safari e no Microsoft Edge .
O pesquisador de segurança digital independente Rafay Baloch, descobriu está vulnerabilidade que permiti que a URL de um site seguro seja exibida na barra de endereços enquanto os usuários estão sendo levados para um site malicioso, no início de junho deste ano quando notificou a Apple e a Microsoft.
” Durante meus testes, foi observado que tanto o navegador Edge quanto o Safari permitiam que o JavaScript atualizasse a barra de endereço enquanto a página ainda estava sendo carregada. Ao solicitar dados de uma porta inexistente, o endereço foi preservado e, portanto, devido a uma condição de corrida sobre um recurso solicitado da porta inexistente combinado com o atraso induzido pela função ‘setInterval’ gerenciada para acionar a falsificação da barra de endereços. Faz com que o navegador preserve a barra de endereços e carregue o conteúdo da página falsificada. No entanto, o navegador carregará o recurso, no entanto, o atraso induzido pela função setInterval seria suficiente para acionar a falsificação da barra de endereço.” relatou Baloch ao descrever os detalhes técnicos em seu site.
Diante do relatório de descobertas de vulnerabilidade em seu navegador a Microsoft apresentou/lançou uma correção em agosto deste ano que resolveu a questão, agora a Apple não deu retorno ao pesquisador quanto ao relatório apresentado a empresa. Entretanto de acordo com a divulgação de Baloch o problema apresentado no navegador Safari será corrigido na próxima atualização.
Ainda de acordo com a divulgação do relatório do pesquisador, Baloch aguardou o tradicional prazo de 90 dias após o reporte a Apple e a Microsoft antes de divulgar seu relatório oficial em seu site.
Em outras palavras está falha permite que o usuário clique em um link que o redireciona para sites maliciosos que estão sendo apresentados como sites seguros, uma vez que o visitante vê endereços forjados.
Fontes: Rafay Baloch e Engadget
Deixe seu comentário