Опасной уязвимости подвержены сразу два браузера. Это Safari и Edge. Оба они имеют очень небольшую долю на мировом рынке, но тем не менее брешь представляет серьезную опасность для многих пользователей.
Дыру в браузерах удалось обнаружить специалисту по кибербезопасности Рафэлю Балоху. Именно он и рассказал пользователям о возникшей угрозе. По его словам, брешь в двух браузерах позволяет хакерам подменять адреса открываемых сайтов незаметно для пользователей. Таким образом человек может даже не подозревать, что вместо оригинального он попал на поддельный сайт.
Уязвимость получила идентификатор CVE-2018-8383. Специалист выяснил, как именно и при каких условиях злоумышленники могут эксплуатировать данную брешь. Как пояснил Балох, дыра в браузерах возникает в так называемом состоянии гонки. Оно позволяет злоумышленникам сначала загружать необходимую страницу, а после этого не затрагивая сам адрес вносить изменения в код ее тела. Так злоумышленник сможет подменять веб-сайты благодаря отправке вызовов к несуществующим портам. Это значит, что мошенники смогут создавать поддельные формы для авторизации и ввода любых пользовательских данных. Сам же посетитель сайта будет думать, что он находится на официальной странице сайта и не заподозрит ничего неладного, хотя по факту он зайдет совершенно на другую страницу и будет сам лично передавать свои личные данные злоумышленнику.
Специалист поясняет, что в случае получения запроса с несуществующего порта Safari или Edge сохраняют текущий адрес страницы, но при этом загружают фальшивый контент, предварительно подготовленный мошенниками. Во время таких действий страница загружается дольше, чем обычно, но пользователей это даже не настораживает, ведь задержка в загрузке страницы может происходить в том числе и из-за плохого подключения к Сети или по каким-то другим причинам.
Балоху не удалось выяснить, почему данная проблема возникла в этих двух браузерах, так как их исходные коды являются закрытыми.
Проблема была обнаружена еще несколько месяцев назад. За это время Microsoft уже успела выпустить заплатки для своего браузера, а вот Apple все еще не решила эту проблему.