マルコム・オーウェン
· 1分で読めます
セキュリティ研究者が、iOS 版 Safari と Microsoft の Edge ブラウザでウェブサイトのアドレスを偽装できる問題を明らかにしたが、Microsoft はその後この欠陥を修正したが、Apple が Safari を更新したかどうかは不明であり、iOS ブラウザが攻撃に対して脆弱なままになっている可能性がある。
研究者のラファイ・バロチ氏は、この脆弱性は特別に作成されたウェブページに関係しており、アドレスバーに特定の URL を表示しながら 1 セットのコンテンツを読み込み、その後 URL をまったく更新せずにページ本体のコードを書き換える、とThe Register は報告している。
バルーチ氏によると、Edgeに関連してCVE-2018-8383として特定されたこのスプーフィング脆弱性により、ページの読み込み中にJavaScriptがアドレスバーを更新することが可能になるという。「存在しないポート」からデータが要求された場合、アドレスは保持され、「存在しないポートから要求されたリソースをめぐる競合状態とsetInterval関数によって発生する遅延」によって、アドレスのスプーフィングが可能になるという。
エンドユーザーにとっては、悪意のあるページが本物のウェブサイトページであるかのように見せかけ、正しいURLをそのまま表示してしまう可能性があります。これは、本物の認証要求を装って、サービスの偽のログインページをユーザーに表示する攻撃に利用される可能性があります。
ブラウザはクローズドソースであるため、iOS 版 Safari と Edge がこの問題の影響を受けるのに、Chrome と Firefox は影響を受けない理由は不明です。
この脆弱性は6月2日にAppleとMicrosoftの両社に報告され、Baloch氏はセキュリティ研究者の典型的な方針として、公開前に修正プログラムを作成するための90日間の期限を定めました。8月11日には90日間の期限を改めて通知し、Microsoftは8月14日の「Patch Tuesday」の一環として修正プログラムをリリースしました。
バロック氏は9月10日にこの脆弱性の詳細を公開しましたが、Appleは未だにこの脆弱性が修正されたことを公式に、あるいは研究者自身にも確認していません。そのため、バロック氏はこの脆弱性について公に議論していますが、パッチがリリースされるまでは概念実証コードを公開しません。
AppleInsiderは、この欠陥とそれを修正するためのアップデートの状況についてAppleに問い合わせた。
