image

Apple mist patch-deadline voor spoofinglek in Safari

dinsdag 11 september 2018, 14:59 door Redactie, 3 reacties

Safari is kwetsbaar voor een spoofingaanval waardoor gebruikers kunnen denken dat ze bijvoorbeeld op hun banksite zitten terwijl dit niet het geval is. Een update van Apple is echter nog niet voorhanden. De kwetsbaarheid werd door onderzoeker Rafay Baloch gevonden.

Hij ontdekte dat zowel Microsoft Edge als Apple Safari het toestaan dat JavaScript de adresbalk aanpast terwijl de pagina nog aan het laden is. Zodoende is het mogelijk om in de adresbalk een domeinnaam te laten zien terwijl er vanaf een ander domein content wordt geladen. Baloch waarschuwde Microsoft op 2 juni, waarna er op 14 augustus een update voor Edge verscheen.

Ook Apple werd op 2 juni ingelicht. De onderzoeker gaf Apple 90 dagen de tijd om het probleem te verhelpen. Aangezien er nog geen update is verschenen heeft Baloch besloten de details openbaar te maken. Wel stelt de onderzoeker dat de kwetsbaarheid via een toekomstige Safari-update zal worden verholpen.

Image

Reacties (3)
11-09-2018, 15:25 door buttonius
Is er een legitieme reden (nuttige toepassing) om de inhoud van de adresbalk aan te kunnen passen middels JavaScript code?
We hebben nu in elk geval een reden (spoofing) waarom je het beter is als dit niet kan.
11-09-2018, 16:05 door [Account Verwijderd] - Bijgewerkt: 11-09-2018, 16:12
Ik heb de PoC uitgeprobeerd in MacOS 10.13.6 en met Safari Versie 11.1.2 (13605.3.8) en het werkt inderdaad.

Als tijdelijke maatregel (workaround) kun je JavaScript in de browser uitschakelen.
Dat doe je als volgt:

Start Safari op en ga naar de menubalk "Safari" klik daarop en ga naar "Voorkeuren". Vandaar uit zoek je tabblad "Beveiliging" op en haal je het vinkje weg bij "Webmateriaal" -> "Schakel JavaScript in". Sluit daarna af.

De aanval kan nu niet meer worden uitgevoerd.
12-09-2018, 08:16 door [Account Verwijderd] - Bijgewerkt: 12-09-2018, 08:21
**Update 12 september **

A) De methode die ik hierboven beschreef werkt dus goed, maar er zijn ook websites die niet meer functioneren indien JavaScript is uitgeschakeld. Daar moet men dus wel even rekening mee houden.

Wie bijvoorbeeld inlogt op webmail van xs4all zal merken dat bij een uitgeschakelde JavaScript geen posts worden afgebeeld. In zo'n geval moet JavaScript dus worden ingeschakeld.

B) Voor Safari-gebruikers is het ook mogelijk om de laatste Firefox browser te installleren want daar werkt deze spoofing-aanval niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.