数码控科技猎奇Iphone动漫星座游戏电竞lolcosplay王者荣耀攻略allcnewsBLOGNEWSBLOGASKBLOGBLOGZSK全部技术问答问答技术问答it问答代码软件新闻开发博客电脑/网络手机/数码笔记本电脑互联网操作系统软件硬件编程开发360产品资源分享电脑知识文档中心IT全部全部分类全部分类技术牛文全部分类教程最新网页制作cms教程平面设计媒体动画操作系统网站运营网络安全服务器教程数据库工具网络安全软件教学vbscript正则表达式javascript批处理更多»编程更新教程更新游戏更新allitnewsJava新闻网络医疗信息化安全创业站长电商科技访谈域名会议专栏创业动态融资创投创业学院 / 产品经理创业公司人物访谈营销开发数据库服务器系统虚拟化云计算嵌入式移动开发作业作业1常见软件all电脑网络手机数码生活游戏体育运动明星影音休闲爱好文化艺术社会民生教育科学医疗健康金融管理情感社交地区其他电脑互联网软件硬件编程开发360相关产品手机平板其他电子产品摄影器材360硬件通讯智能设备购物时尚生活常识美容塑身服装服饰出行旅游交通汽车购房置业家居装修美食烹饪单机电脑游戏网页游戏电视游戏桌游棋牌游戏手机游戏小游戏掌机游戏客户端游戏集体游戏其他游戏体育赛事篮球足球其他运动球类运动赛车健身运动运动用品影视娱乐人物音乐动漫摄影摄像收藏宠物幽默搞笑起名花鸟鱼虫茶艺彩票星座占卜书画美术舞蹈小说图书器乐声乐小品相声戏剧戏曲手工艺品历史话题时事政治就业职场军事国防节日风俗法律法规宗教礼仪礼节自然灾害360维权社会人物升学入学人文社科外语资格考试公务员留学出国家庭教育学习方法语文物理生物工程学农业数学化学健康知识心理健康孕育早教内科外科妇产科儿科皮肤科五官科男科整形中医药品传染科其他疾病医院两性肿瘤科创业投资企业管理财务税务银行股票金融理财基金债券保险贸易商务文书国民经济爱情婚姻家庭烦恼北京上海重庆天津黑龙江吉林辽宁河北内蒙古山西陕西宁夏甘肃青海新疆西藏四川贵州云南河南湖北湖南山东江苏浙江安徽江西福建广东广西海南香港澳门台湾海外地区

苹果Safari曝漏洞:银行官方URL可能是黑客李鬼网页

来源:TECHWEB  责任编辑:小易  

腾讯科技讯 和安卓生态系统相比,苹果iOS一直被认为具有更高的安全性,安全成为重要卖点。不过据外媒最新消息,安全业界人士曝光了苹果和微软浏览器中的一个危险漏洞,某个合法网址的网页可能是黑客修改之后的“李鬼网页”,而时至今日苹果仍然没有发布安全补丁。

据英国科技新闻网站The Register报道,近日网络安全研究人员保罗(Rafay Baloch)对媒体称,他发现了微软Edge和苹果Safari浏览器中的一个漏洞,导致用户可能在正常的网址下访问到虚假网站内容。

保罗表示,到目前为止,微软公司已经针对Edge浏览器发布了安全补丁(代号CVE-2018-8383),修补了上述的漏洞。但是苹果得知漏洞信息已经过去了几个月,但是尚未公布安全补丁,换言之,全世界数亿Safari浏览器用户,仍然面临这一风险。

保罗介绍说,微软和苹果浏览器中的漏洞提供了一种十分罕见的条件,这可以让网络黑客在实施攻击时首先载入一个合法的网站,这样用户在浏览器的地址栏中看到的是正规的网址。随后,黑客将会快速切换代码,在不改变网址的情况下黑客能够载入伪造的网页内容。

这是一种极其危险的攻击。比如网络黑客可以伪造银行或其他官方网站的登录页面,利用用户输入的信息获取大量的账号和密码。

过去,曾经有一些网络黑客故意制作虚假网站,骗取用户登录信息,但是这些网站并无法使用银行等机构的正式网址,一些浏览器也能够对假冒官方机构网址的虚假URL进行报警或提醒。

在合法网址的掩盖之下,一些用户可能不会怀疑某个“李鬼网站”。

据报道,保罗之前已经公布了相关的视频,对相关的漏洞和攻击方法进行了概念验证。

保罗介绍说,由于微软Edge浏览器和苹果Safari浏览器均不是开放源代码的软件,因此他个人并不清楚为何两个浏览器都存在相同一个漏洞。到目前为止,他并未在谷歌公司的Chrome浏览器以及Mozilla的火狐浏览器中发现这一漏洞。

保罗表示,上述漏洞发生主要和浏览器显示网址的工作机制有关系,不同的浏览器以不同的方式处理浏览和网址显示,在苹果Safari和微软Edge浏览器案例中,两个浏览器都允许网页在载入的过程中对代码进行更新。

保罗提供了解决这一漏洞的一个办法,即在一个网页完完全全被载入时,浏览器应该让网址栏的信息进行再一次更新。

据报道,虽然微软和苹果公司的两大浏览器均出现了同一漏洞,但是双方应对漏洞的方式却大相径庭。在获得保罗报告之后,微软公司的团队已经快速修补了漏洞。

据称,保罗已经在6月2日将Safari浏览器的漏洞报告给了苹果公司,但是至今并未得到是否已经修补了漏洞的消息。

按照行业惯例,在向相关的科技公司报告安全漏洞90天之后,保罗决定正式对外公开漏洞信息,不过他仍然没有公布有关发起攻击的概念验证代码,他还在等待苹果公司对Safari浏览器的漏洞进行修改。

在过去几年中,苹果公司的软件开发质量出现了下滑,比如每一个iOS版本的推出将会伴随着一些BUG的出现,多次的iOS升级甚至导致大量用户的iPhone变成了“砖头”。在软件安全漏洞方面,苹果也呈现出增加势头。

就在七月份,据外媒报道,苹果公司官方网站代码以及一家手机保险公司网站漏洞,导致共有7200多万苹果手机用户的密码被泄露。(综合/晨曦)


  • 本文相关:
  • 站长必读,如何真正写好一篇原创文章
  • 互联网之路细嗅蔷薇 资深站长分享掘金之道
  • 企业站的站长的工作重心究竟有哪些
  • 浅析:行业门户网站的一些盈利模式
  • 3000IP的企业网站每天订单不到30个的苦恼
  • 网站想内外兼修?先学习提高网站可用性的6大原则
  • 浅谈网页设计中的简约之美
  • 网页改版实战:日本设计师如何彻底优化旅游网站?
  • 网页改版实战!日本设计师如何彻底优化招聘网站?
  • 2015年值得关注的21个网页设计趋势
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved