聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

Rapid 公司发现Safari 、Opera Mini 和 Yandex 浏览器易受基于 JavaScript 的地址栏欺骗漏洞影响。

Rapid 公司和其 “长期移动黑客朋友 Rafay Baloch” 发现该软件可被诱骗展示网站的 URL,同时加载并展示另外一个网站的内容。这种骗术可使偷盗者和欺诈者将银行的在线登录页面替换为旨在收割不知情用户的登录详情。

Rapid7 公司的研究员 Tod Beardsley 在博客文章中指出,“由于我们验证手机上数据来源的方法很少,因此地址栏几乎是禁止开发人员(天使和魔鬼般的人)一起使用的唯一一处屏幕房地产。”

他进一步解释称,”通过乱搞页面之间的加载时间,且在浏览器有机会刷新地址栏时,攻击者可以弹出看似源自任意网站的消息,或者渲染错误地看似源自任意站点的浏览器窗口中的内容。“

Baloch 在自己的网站上发布了利用 Yandex、Safari 和 Opera 浏览器的PoC 代码。他指出,“有必要提及一点,多款拥有庞大用户基数的移动浏览器甚至没有提供专门的漏洞报告邮箱,挫败了研究人员报告漏洞的热情。谷歌 Chrome 和火狐浏览器都设立了漏洞奖励计划且桌面版和移动版都包含在内,微软的漏洞奖励计划仅针对桌面版。”

补丁已发布

目前,UCWeb (CVE-2020-7363 和 CVE-2020-7364)、Opera Touch、Yandex Browser (CVE-2020-7369)、Safari (CVE-2020-9987) 和 RITS Browser (CVE-2020-7371) 均已发布补丁。用户应升级至最新版本。

Opera Mini 预计将于11月11日发布补丁。Bolt Browser 似乎也受影响,尽管 Rapid7 公司并未联系到该浏览器的维护人员。

反病毒供应商 Eset 公司的信息安全专家 Jake Moor 指出,终端用户无需担心,因为最近该公司已安装补丁。他解释称,“我们倾向于让浏览器自动更新,意味着我们可以自由安全地浏览内容而无需担心额外的防护措施。然而,某些特定的浏览器可能并非如此。令人担忧的是,如果长按该链接,它看起来似乎是真实的。但是,一如既往,用户应尝试限制敏感数据遭泄露或尝试使用更快修复该漏洞的浏览器。”

他总结称,“在补丁发布之前,我建议在邮件和其它信息中发现可疑链接时,应该格外小心。”

推荐阅读

Safari 浏览器未修复 bug 导致用户地址栏信息被控制

这个 bug 可劫持同一 WiFi 网络上所有的安卓版火狐移动浏览器

Mozilla 加大火狐浏览器漏洞奖励力度

原文链接

https://www.theregister.com/2020/10/24/browser_address_spoofing/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错,就点个 “在看” 吧~

多款浏览器修复基于 JavaScript 的地址栏欺骗漏洞相关推荐

  1. ajax文件插件上传,7 款基于 JavaScript/AJAX 的文件上传插件

    本文整理了7款基于JavaScript和AJAX的文件上传插件,这些插件基本上都能实现以下功能: 多文件上传 拖拽操作 实时上传进度 自定义上传限制 希望能为你的开发工作带来帮助. 具有多文件上传.拖 ...

  2. 防劫持工具,介绍几款浏览器劫持修复工具

    相信很多人都会自己设定浏览器的主页,但是有时候,我们会发现打开自己浏览器设置好的主页,结果被莫名其妙的跳转到其他的网址,这种情况大多是浏览器劫持.遇到这种情况,即使锁定主页也没法解决,我们可以借助浏览 ...

  3. 开发一款浏览器内核需要学习哪些方面的知识?

    开发一款浏览器内核需要学习哪些方面的知识? 最近参加毕业设计,题目选的是<基于Linux平台的网页浏览器设计与实现>. 想认真做一下,所以不准备直接用现成的开源浏览器内核(比如WebKit ...

  4. 第十一章:WEB浏览器中的javascript

    客户端javascript涵盖在本系列的第二部分第10章,主要讲解javascript是如何在web浏览器中实现的,这些章节介绍了大量的脚本宿主对象,这些对象可以表示浏览器窗口.文档树的内容.这些章节 ...

  5. 简介浏览器内核与JavaScript引擎

    本文介绍了常用浏览器内核与JavaScript引擎 一.浏览器内核 Rending Engine, 顾名思义,称之为渲染网页内容的,将网页的代码转换为你看得见的页面,因为是排版,所以排版,所以肯定会有 ...

  6. JavaScript 编程精解 中文第三版 十三、浏览器中的 JavaScript

    十三.浏览器中的 JavaScript 原文:JavaScript and the Browser 译者:飞龙 协议:CC BY-NC-SA 4.0 自豪地采用谷歌翻译 部分参考了<JavaSc ...

  7. 别问,问就是我差点在所有浏览器中注入 JavaScript 代码

     聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...

  8. ie手机浏览器_哪款浏览器可以说成为装机必备?

    [搞机百科]哪款浏览器可以说成为装机必备? 如今互联网日常生活中起着至关重要的作用,如果想上网浏览页面,就需要和浏览器打交道.如果对于浏览器没有特殊要求的话,操作系统自带的浏览器可以满足基本需要的,但 ...

  9. 软件开发基于JavaScript实现快速转换文本语言(繁体中文和简体中文)_javascript技巧

    软件开发基于JavaScript实现快速转换文本语言(繁体中文和简体中文)_javascript技巧 一般商业网站都有一个语言的需求,就是为了照顾使用正体中文的国人,会特地提供一个切换到正体中文的选项 ...

最新文章

  1. 关于python中的self,ins , cls的解释
  2. POJ 2976 01分数规划基础题目
  3. 【数学与算法】曲线上各点的曲率kappa和倾角theta
  4. Cannot find reference ‘PDFDocument‘ in ‘pdfparser.py‘
  5. mysql桥梁表_以JDBC为桥梁入门MySQL数据库基础
  6. 2018(上)C高级第0次作业
  7. 如何将一个String和多个String值进行比较
  8. elf文件的GOT和PLT
  9. php实现mysql查询_PHP如何实现MYSQL查询功能
  10. 润乾报表-单元格函数
  11. 虾皮的注册流程是什么?怎么注册虾皮?
  12. 如何建立英文字符的哈希表
  13. Oracle数据库管理每周一例-第十七期 ADG
  14. vue-cli3访问public文件夹静态资源的报错解决
  15. python实用代码2:自动爬找下载电影
  16. 我的2019秋招记忆(完整版) | 掘金技术征文
  17. [渝粤教育] 盐城工学院 土力学与基础工程 参考 资料
  18. 最近两篇Nature子刊的经验与教训
  19. 打上花火计算机音乐,【ff14诗人演奏】打上花火完整音符和弦版
  20. PCB设计:项目建立及转为PCB过程

热门文章

  1. SQL Server 2014 许可证(六)虚拟化中的授权
  2. OGG_GoldenGate日常维护(案例)
  3. hbase region split 过程(翻译)
  4. 斯诺登最新爆料:QQ和飞信也被美国国家安全局监控
  5. linux 环境下git的安装与配置
  6. 第十章:基本数据结构(2)
  7. 强制定义某个变量的内存地址
  8. RedHat Linux 5企业版开启VNCSERVER远程桌面功能[转]
  9. 类似华容道一类搜索中,状态的Hash方法(转)
  10. [转] Difference between Abstract classes and Interfaces