Safari víctima de un nuevo ataque spoofing
El investigador Rafay Baloch ha sido capaz de reproducir esta vulnerabilidad únicamente en los buscadores Safari de Apple y Edge de Microsoft. Tras su descubrimiento Rafay no dudó en informar a los responsables de cada compañía, sin embargo solo Microsoft ha respondido con un parche de seguridad lanzado el pasado 14 de agosto que formaba parte de sus actualizaciones de seguridad. Apple recibió el aviso el día 2 de junio y 90 días después tras superar el periodo de no divulgación el bug se ha dado a conocer públicamente.
Esta vulnerabilidad ya es conocida como CVE-2018-8383 y está esperando para ser puntada. Explotar esta vulnerabilidad requiere que el atacante engañe a la víctima para acceder a una página diseñada especialmente para suplantar la página buscada, algo que no resulta muy complicado. Retrasando la actualización de la barra de direcciones un atacante podría suplantar cualquier página web mientras que la víctima ve el dominio legítimo con sus respectivas marcas de autenticación. En la mayoría de los casos el cambio en la barra de direcciones se puede apreciar perfectamente, sin embargo esto pasa también con muchas páginas legitimas que aprovechan para cargar algunos elementos secundarios en background, haciendo que no resulte nada sospechoso.
Powered by WPeMatico