ข้อบกพร่องด้านความปลอดภัย Safari และ Edge มีความเสี่ยงต่อการปลอมเว็บไซต์

นักวิจัยด้านความปลอดภัยได้ค้นพบข้อบกพร่องทั้งในเบราว์เซอร์ Safari และ Microsoft ของ Edge ซึ่งอนุญาต URL ของเว็บไซต์ที่ปลอดภัยที่จะแสดงในแถบที่อยู่ในขณะที่ผู้ใช้กำลังถูกนำไปยังเว็บไซต์อื่นที่อาจเป็นอันตราย Rafay Baloch พบปัญหาด้านความปลอดภัยและแจ้งให้ Apple และ Microsoft ทราบในช่วงต้นเดือนมิถุนายน แต่ในขณะที่ไมโครซอฟต์ได้ออกการแก้ไขในเดือนสิงหาคมแอ็ปเปิ้ลยังไม่ได้ตอบสนองต่อรายงานของ Baloch

“ในระหว่างการทดสอบพบว่าเบราเซอร์ทั้ง Edge และ Safari อนุญาตให้ JavaScript อัพเดตแถบที่อยู่ขณะที่หน้าเว็บโหลดอยู่” Baloch เขียนไว้ในเว็บไซต์ของเขา “เมื่อขอข้อมูลจากพอร์ตที่ไม่มีอยู่ที่อยู่ถูกเก็บรักษาไว้และด้วยเหตุนี้สภาพการแย่งชิงทรัพยากรที่ร้องขอจากพอร์ตที่ไม่มีอยู่รวมกับความล่าช้าที่เกิดจากฟังก์ชัน setInterval จึงจะเรียกใช้การปลอมแปลงแถบที่อยู่ได้ทำให้เบราว์เซอร์ รักษาแถบที่อยู่และโหลดเนื้อหาจากหน้าปลอมแปลง “

ด้วยเหตุนี้ผู้ใช้อาจคลิกลิงก์ไปยังไซต์โจมตีซึ่งนำเสนอตัวเองเป็นอย่างอื่นและแถบที่อยู่ของเบราเซอร์จะทำให้ดูเหมือนว่าพวกเขากำลังมุ่งหน้าไปยังเว็บไซต์ที่ปลอดภัย Baloch แสดงให้เห็นว่าการทำงานนี้เป็นอย่างไรในวิดีโอหลักฐานสองข้อซึ่งหนึ่งในนั้นมีอยู่ด้านล่าง ตามเว็บไซต์ของเขา Baloch โดยทั่วไป 90 วันหลังจากแจ้ง Apple และ Microsoft ก่อนที่เขาจะเผยแพร่รายงานของเขา

Leave a Reply

Your email address will not be published. Required fields are marked *

%d bloggers like this: