Независимый ИБ-эксперт Рафай Балоч (Rafay Baloch) обнаружил, что браузеры Edge и Safari уязвимы перед проблемой подделки данных в строке адреса. И если инженеры Microsoft прислушались к предупреждению специалиста и устранили брешь еще в августе текущего года, присвоив ей идентификатор CVE-2018-8383, то для Safari проблема по-прежнему актуальна. Балоч пишет, что уведомил Apple о баге 2 июня 2018 года. Так как положенные 90 дней истекли больше недели назад, эксперт решил опубликовать информацию о проблеме.
В своем блоге специалист объясняет, что проблема связана с возникновением состояния гонки (race condition) и, в сущности, потенциальному злоумышленнику нужно лишь заманить жертву на специально созданную страницу. После этого в браузере начнется загрузка якобы легитимного ресурса, атакующему нужно дождаться появления легитимного URL в строке адреса, а затем «на лету» модифицировать код страницы на вредоносный, при этом не изменяя URL. Теоретически это позволяет создавать фальшивые страницы логина и другие формы, что позволит похитить учетные данные пользователей, которые будут уверены, что работают с легитимным сайтом.
Так, журналисты Bleeping Computer протестировали предложенную специалистом proof-of-concept страницу на iOS. Как видно на иллюстрации ниже, PoC работает отлично: сайт, который выглядит как gmail[.]com, на самом деле является sh3ifu[.]com.
В блоге исследователь также опубликовал видеодемонстрации атак на оба браузера, эти ролики можно увидеть ниже.