多款浏览器修复基于JavaScript的地址栏欺骗漏洞

编译：奇安信代码卫士团队

Rapid 公司发现Safari 、Opera Mini 和 Yandex 浏览器易受基于 JavaScript 的地址栏欺骗漏洞影响。

Rapid 公司和其 “长期移动黑客朋友 Rafay Baloch” 发现该软件可被诱骗展示网站的 URL，同时加载并展示另外一个网站的内容。这种骗术可使偷盗者和欺诈者将银行的在线登录页面替换为旨在收割不知情用户的登录详情。

Rapid7 公司的研究员 Tod Beardsley 在博客文章中指出，“由于我们验证手机上数据来源的方法很少，因此地址栏几乎是禁止开发人员（天使和魔鬼般的人）一起使用的唯一一处屏幕房地产。”

他进一步解释称，”通过乱搞页面之间的加载时间，且在浏览器有机会刷新地址栏时，攻击者可以弹出看似源自任意网站的消息，或者渲染错误地看似源自任意站点的浏览器窗口中的内容。“

Baloch 在自己的网站上发布了利用 Yandex、Safari 和 Opera 浏览器的PoC 代码。他指出，“有必要提及一点，多款拥有庞大用户基数的移动浏览器甚至没有提供专门的漏洞报告邮箱，挫败了研究人员报告漏洞的热情。谷歌 Chrome 和火狐浏览器都设立了漏洞奖励计划且桌面版和移动版都包含在内，微软的漏洞奖励计划仅针对桌面版。”

补丁已发布

目前，UCWeb (CVE-2020-7363 和 CVE-2020-7364)、Opera Touch、Yandex Browser (CVE-2020-7369)、Safari (CVE-2020-9987) 和 RITS Browser (CVE-2020-7371) 均已发布补丁。用户应升级至最新版本。

Opera Mini 预计将于11月11日发布补丁。Bolt Browser 似乎也受影响，尽管 Rapid7 公司并未联系到该浏览器的维护人员。

反病毒供应商 Eset 公司的信息安全专家 Jake Moor 指出，终端用户无需担心，因为最近该公司已安装补丁。他解释称，“我们倾向于让浏览器自动更新，意味着我们可以自由安全地浏览内容而无需担心额外的防护措施。然而，某些特定的浏览器可能并非如此。令人担忧的是，如果长按该链接，它看起来似乎是真实的。但是，一如既往，用户应尝试限制敏感数据遭泄露或尝试使用更快修复该漏洞的浏览器。”

他总结称，“在补丁发布之前，我建议在邮件和其它信息中发现可疑链接时，应该格外小心。”

原文链接

https://www.theregister.com/2020/10/24/browser_address_spoofing/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。