Исследователь проблем кибербезопасности Рафай Балок сообщил об обнаружении опасной уязвимости, получившей обозначение CVE-2018-8383. Она затрагивает браузеры Safari от Apple и Edge от Microsoft и потенциально позволяет злоумышленникам подменять содержимое веб-страниц. При этом отображаемый в адресной строке URL-адрес остается без изменений, что дает возможность создания фальшивых страниц и похищения данных учетных записей пользователей.
Проблема связана с так называемым «состоянием гонки» - ошибкой проектирования систем и приложений, при которой их работа определяется тем, в каком порядке выполняются части программного кода. В случае с уязвимостью CVE-2018-8383 злоумышленник может адресоваться к несуществующим портам. При этом в браузерах Edge и Safari происходит задержка, которой достаточно, чтобы подменить уже загруженную страницу фальшивой, а URL-адрес останется неизменным. Исследователь затруднился ответить, почему уязвимости подвержены Safari и Edge, а не, например, Chrome и Firefox, поскольку исходный код браузеров является закрытым. Однако Балок высказал предположение, что проблему было бы проще всего решить, предусмотрев обновление адресной строки после полной загрузки страницы.
Исследователь уведомил компании Microsoft и Apple об обнаруженной проблеме еще 2 июня. Специалисты Microsoft уже выпустили необходимое обновление, а вот их коллеги из Apple оказались менее расторопны. По истечение 90 дней Рафай Балок счел себя вправе опубликовать описание уязвимости.
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-2969 info@tcinet.ru
+7 495 730-2970