発見された新しいSafariの脆弱性、フィッシング目的のためのスプーフィングリンク
は、iOSのSafariブラウザーのように見え、OS XのSafariブラウザーは、攻撃者がフィッシング目的またはマルウェアの配布のためにそれを悪用できる固有の脆弱性をもたらします。研究者によって発見されたように、エクスプロイトは、実際に信頼できる合法的なウェブサイトを訪問していることをユーザーに納得させるためにWeb URLのスプーフィングに基づいています。このニュースの詳細については、こちらをご覧ください。
攻撃者がこのエクスプロイトをどのように使用できるかを紹介するために、研究者は概念の証明サイトを開発し、意図されていない個人がそれを好む場合に攻撃がどのように機能するかを正確に実証しました。研究者は、dailymail.co.ukを使用して、英国のニュースウェブサイトであなたが訪問しているウェブサイトとしてポーズをとっていますが、代わりに、それは本当のdailymailのページではないことを示すページに導かれますが、Safariアドレスバーは合法を示していますURLアドレス。
この概念実証を使用すると、ブラウザが実際の意図したリンクをロードする機会を得る前に、Trick URLがフィッシングまたはマルウェアのWebサイトをすばやく読み込んでいることに気付くでしょう。このコードをテストしたArstechnicaによると、それは完全に完璧ではないという結論に達しており、「iPad Mini ARSでテストされたiPad Mini Arsでは、アドレスバーがページがリロードするように見えたときにアドレスを定期的に更新しました。動作は、何かがおかしいという精通したユーザーをチップオフする可能性があります。」
エクスプロイトでのこの想定される不具合は、実際に本物のウェブサイトを訪れていると信じる多くのユーザーに気付く可能性は低いです。攻撃者は、エクスプロイトを使用して、PayPalなどの繊細なサービスを提供するリンクをドレスアップするリンクを使用して、個人情報とその結果、お金を盗むことができます。
このエクスプロイトに対する脆弱性は、Safariだけに存在するようであり、Chrome、Firefox、Internet Explorerなどのブラウザは、明らかにそれになりやすくないようです。このような脆弱性はiOSまたはOS Xでオンまたはオフになる傾向がありますが、ユーザーは保証された実績でAppleが新しいアップデートでこれをすぐにパッチアップすることを保証できます。この脆弱性は深刻なデータリスクをもたらしますが、Safariのクイックアップデートでは管理できないものはありません。
データが危険にさらされてはならないと思われる場合は、Appleがアップデートをプッシュする前にサードパーティのブラウザをダウンロードすることをお勧めします。
(経由:Arstechnica)
Twitterでフォローしたり、Google+のサークルに追加したり、Facebookページのように私たちを追加して、Microsoft、Google、Apple、Webのすべての最新情報を最新の状態に保つことができます。