سرقت اطالعات با آسیب پذیری دو مرورگر اینترنتی
مرکز مدیریت راهبردی افتای ریاســت جمهوری نســبت به آســیب پذیری از طریق جعل آدرس و سرقت اطالعات برخی وبسایتها در مرورگرهای Edge و Safari هشدار داد. بــه گزارش «ایران»، یک پژوهشــگر امنیتــی دو کد اثبــات مفهومی )PoC( ارائــه کــرده کــه در آنهــا دو آســیبپذیری در نســخه ۴2,1713۴.1.0 مرورگر Edge و نســخه iOS11.3.1 مرورگــر Safari مورد ســوء اســتفاده قرار گرفتند بــه طوری کــه در این مرورگرها نوار آدرس دســتکاری میشــوند و قربانیان بــه گونــهای فریــب داده میشــوند کــه تصــور میکننــد در حــال بازدیــد از یــک وبســایت رســمی هســتند. اپــل به ایــن پژوهشــگر اعــالم کــرده که در بهروزرســانی بعــدی Safari (برای نســخه بتا )iOS12 این مــورد را برطرف خواهد کرد. مایکروســافت نیــز این آســیبپذیری )2018-8383-CVE( را در بهروزرســانی مــاه آگوســت رفع کرده اســت. هــر دو آســیبپذیری در مرورگرهای Edge و Safari به جاوا اسکریپت اجازه میدهند تا نوار آدرس مرورگر را هنگام بارگذاری صفحه بهروزرسانی کنند. پــس از فریب قربانی از طریق آدرس، مهاجم میتواند وبســایت مدنظر را جعــل کنــد و از طریــق آن بدافزار را منتقل کند یــا اطالعات احراز هویت قربانی یا سایر دادههای حساس را جمعآوری کند. بــرای مثــال مهاجم میتواند لینکی را به یک کاربر ارســال کند، وی را وادار کنــد تــا روی آن کلیــک کنــد و ســپس بــا تکنیک جعــل آدرس و وبســایت، اطالعات او را به سرقت ببرد. این آسیبپذیری در سایر مرورگرها، از جمله Chrome و Firefox مشاهده نشده است.