Tạo bài viết
Đăng ký
13/09/2018, 17:17

Cảnh báo lỗ hổng bảo mật trên Safari, người dùng Apple cẩn trọng

Đêm qua (theo giờ Việt Nam) cả thế giới vừa háo hức đón chờ những “siêu phẩm” iPhone mới từ Apple, thì sáng nay một chuyên gia bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng có thể cho phép hacker giả mạo địa chỉ trang web trong trình duyệt Microsoft Edge trên Windows và ...

Đêm qua (theo giờ Việt Nam) cả thế giới vừa háo hức đón chờ những “siêu phẩm” iPhone mới từ Apple, thì sáng nay một chuyên gia bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng có thể cho phép hacker giả mạo địa chỉ trang web trong trình duyệt Microsoft Edge trên Windows và Apple Safari trên iOS.

Trong khi Microsoft đã khắc phục lỗ hổng giả mạo URL của address bar trong tháng trước với bản cập nhật bảo mật hàng tháng, Safari thì vẫn chưa được vá và có khả năng khiến người dùng Apple dễ bị tấn công bởi những kẻ lừa đảo.

Các cuộc tấn công lừa đảo ngày nay phức tạp và ngày càng khó phát hiện hơn, và lỗ hổng mới được phát hiện này có thể vượt qua các chỉ báo như URL và SSL, vốn là những điều đầu tiên người dùng kiểm tra để xác định xem trang web có phải là giả mạo hay không.

Được phát hiện bởi chuyên gia nghiên cứu bảo mật Rafay Baloch ở Pakistan, lỗ hổng (CVE-2018-8383) là do một lỗi condition type gây ra bởi web browser cho phép JavaScript cập nhật địa chỉ trang trong thanh URL trong khi trang đang tải.

Dưới đây là cách hoạt động của URL giả mạo

Khai thác lỗ hổng này sẽ cho phép hacker bắt đầu tải một trang hợp pháp, điều này sẽ làm cho địa chỉ trang được hiển thị trong thanh URL và sau đó nhanh chóng thay thế code trong trang web bằng mã độc.

Vì URL được hiển thị trong thanh địa chỉ không thay đổi nên cuộc tấn công lừa đảo sẽ rất khó bị phát hiện với ngay cả người dùng cẩn thận.

Như vậy, kẻ tấn công có thể mạo danh bất kỳ trang web nào, bao gồm Gmail, Facebook, Twitter hoặc thậm chí là các trang web ngân hàng và tạo màn hình đăng nhập giả hoặc các hình thức khác để lấy cắp thông tin và dữ liệu từ người dùng.

Minh chứng bằng video

Theo Baloch, cả trình duyệt web Google Chrome và Mozilla Firefox đều không bị ảnh hưởng bởi lỗ hổng này.

Trong khi Microsoft đã khắc phục vấn đề này vào tháng trước với bản cập nhật Patch tháng 8 năm 2018, Baloch vẫn chưa nhận được phản hồi từ Apple về lỗ hổng mà anh đã báo cáo cho công ty vào ngày 2 tháng 6.

Techtalk via thehackernews

Bùi Văn Nam

27 chủ đề

7090 bài viết

Có thể bạn quan tâm
0
Các chủ đề đang được quan tâm
phần mềm lập trình php | lập trình web php + mysql | khóa học lập trình php | tự học lập trình php | học php cơ bản thachpham | Code24h | Cho thuê phòng trọ hà nội | Cho thuê phòng trọ bình thạnh | Cho thuê phòng trọ | Cho thuê nhà trọ
Đăng ký

Đăng ký nhận thông báo

Các bài học thú vị sẽ được gửi đến inbox của bạn

HỖ TRỢ HỌC VIÊN
VỀ CODE24H
HỢP TÁC VÀ LIÊN KẾT
KẾT NỐI VỚI CHÚNG TÔI
TẢI ỨNG DỤNG TRÊN ĐIỆN THOẠI

CCode 24h, code mọi lúc, mọi nơi

© Copy right 2018 - 2024