微軟Edge和蘋(píng)果Safari瀏覽器漏洞：不改變地址即可改變網(wǎng)頁(yè)內(nèi)容

北京時(shí)間9月12日早間消息，據(jù)美國(guó)科技媒體The Register報(bào)道，安全研究人員發(fā)現(xiàn)Edge和Safari瀏覽器存在漏洞，惡意者可以利用漏洞發(fā)起攻擊，在不改變地址的情況下改變網(wǎng)頁(yè)內(nèi)容。

安全研究人員拉菲·巴羅奇（Rafay Baloch）指出，微軟已經(jīng)用補(bǔ)丁修復(fù)漏洞，不過(guò)蘋(píng)果行動(dòng)遲緩，所以目前Safari仍然不安全。

通過(guò)漏洞，攻擊者可以加載合法頁(yè)面，讓網(wǎng)頁(yè)地址在地址欄顯示，然后快速將頁(yè)面內(nèi)的代碼轉(zhuǎn)換為惡意代碼，地址欄中的URL地址無(wú)需改變。這樣一來(lái)，攻擊者可以創(chuàng)建虛假登錄屏幕或者其它表格，收集用戶名、密碼及其它數(shù)據(jù)，用戶很難區(qū)分真假，他們會(huì)認(rèn)為自己登錄的頁(yè)面是真實(shí)的。

瀏覽器的源碼是封閉的，巴羅奇不清楚Edge和Safari存在該漏洞，但Chrome和火狐沒(méi)有的原因。照他的猜測(cè)，瀏覽器決定何時(shí)顯示頁(yè)面地址可能是問(wèn)題的關(guān)鍵。巴羅奇說(shuō)：“不同的瀏覽器處理導(dǎo)航的手法并不一樣，當(dāng)頁(yè)面正在加載時(shí)，Safari、Edge瀏覽器允許代碼更新。瀏覽器可以允許地址欄在頁(yè)面完全加載之后更新一次，這樣就可以解決問(wèn)題了?！?/p>

微軟目前已經(jīng)修復(fù)漏洞。6月2日巴羅奇向蘋(píng)果提交報(bào)告，至今還沒(méi)有修復(fù)。按照慣例有90天的時(shí)間窗口，巴羅奇說(shuō)他會(huì)披露漏洞，但是在蘋(píng)果發(fā)布補(bǔ)丁之前不會(huì)公開(kāi)代碼。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。