相關推薦

微軟和蘋果瀏覽器漏洞:不改變地址即可改變網頁內容

據美國科技媒體The Register報導,安全研究人員發現Edge和Safari瀏覽器存在漏洞,惡意者可以利用漏洞發起攻擊,在不改變地址的情況下改變網頁內容。

安全研究人員拉菲·巴羅奇指出,微軟已經用補丁修復漏洞,不過蘋果行動遲緩,所以目前Safari仍然不安全。

通過漏洞,攻擊者可以加載合法頁面,讓網頁地址在地址欄顯示,然後快速將頁面內的代碼轉換為惡意代碼,地址欄中的URL地址無需改變。這樣一來,攻擊者可以創建虛假登錄屏幕或者其它表格,收集用戶名、密碼及其它數據,用戶很難區分真假,他們會認為自己登錄的頁面是真實的。

瀏覽器的源碼是封閉的,巴羅奇不清楚Edge和Safari存在該漏洞,但Chrome和火狐沒有的原因。照他的猜測,瀏覽器決定何時顯示頁面地址可能是問題的關鍵。巴羅奇說:“不同的瀏覽器處理導航的手法並不一樣,當頁面正在加載時,Safari、Edge瀏覽器允許代碼更新。瀏覽器可以允許地址欄在頁面完全加載之後更新一次,這樣就可以解決問題了。”

微軟目前已經修復漏洞。6月2日巴羅奇向蘋果提交報告,至今還沒有修復。按照慣例有90天的時間窗口,巴羅奇說他會披露漏洞,但是在蘋果發布補丁之前不會公開代碼。

微軟和蘋果瀏覽器漏洞:不改變地址即可改變網頁內容

为您推荐

發佈留言

联系我们

联系我们

工作时间:周一至周五,9:00-17:30,节假日休息

返回顶部