Cảnh báo lỗ hổng bảo mật trên Safari, người dùng Apple cẩn trọng
Đêm qua (theo giờ Việt Nam) cả thế giới vừa háo hức đón chờ những “siêu phẩm” iPhone mới từ Apple, thì sáng nay một chuyên gia bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng có thể cho phép hacker giả mạo địa chỉ trang web trong trình duyệt của Safari trên iOS.
Trong khi Microsoft đã khắc phục lỗ hổng giả mạo URL của address bar trong tháng trước với bản cập nhật bảo mật hàng tháng, Safari thì vẫn chưa được vá và có khả năng khiến người dùng Apple dễ bị tấn công bởi những kẻ lừa đảo.
Các cuộc tấn công lừa đảo ngày nay phức tạp và ngày càng khó phát hiện hơn, và lỗ hổng mới được phát hiện này có thể vượt qua các chỉ báo như URL và SSL, vốn là những điều đầu tiên người dùng kiểm tra để xác định xem trang web có phải là giả mạo hay không.
Được phát hiện bởi chuyên gia nghiên cứu bảo mật Rafay Baloch ở Pakistan, lỗ hổng (CVE-2018-8383) là do một lỗi condition type gây ra bởi web browser cho phép JavaScript cập nhật địa chỉ trang trong thanh URL trong khi trang đang tải.
Dưới đây là cách hoạt động của URL giả mạo
Khai thác lỗ hổng này sẽ cho phép hacker bắt đầu tải một trang hợp pháp, điều này sẽ làm cho địa chỉ trang được hiển thị trong thanh URL và sau đó nhanh chóng thay thế code trong trang web bằng mã độc.
Vì URL được hiển thị trong thanh địa chỉ không thay đổi nên cuộc tấn công lừa đảo sẽ rất khó bị phát hiện với ngay cả người dùng cẩn thận.
Như vậy, kẻ tấn công có thể mạo danh bất kỳ trang web nào, bao gồm Gmail, Facebook, Twitter hoặc thậm chí là các trang web ngân hàng và tạo màn hình đăng nhập giả hoặc các hình thức khác để lấy cắp thông tin và dữ liệu từ người dùng.
Theo Baloch, cả trình duyệt web Google Chrome và Mozilla Firefox đều không bị ảnh hưởng bởi lỗ hổng này.
Trong khi Microsoft đã khắc phục vấn đề này vào tháng trước với bản cập nhật Patch tháng 8 năm 2018, Baloch vẫn chưa nhận được phản hồi từ Apple về lỗ hổng mà anh đã báo cáo cho công ty vào ngày 2 tháng 6.
thehackernews
- Bảo vệ bản thân trên mạng xã hội
- Mạng xã hội là gì? Hiểu đầy đủ nhất về mạng xã hội
- Tặng mã nguồn và dữ liệu thật của forum nông nghiệp, nông sản hữu cơ
- Cách cài đặt máy in, máy scan... khi hệ điều hành không hỗ trợ driver
- Android, iOS, BlackBerry hệ điều hành nào bảo mật hơn
- Mã hóa giọng nói qua di động trở thành xu hướng mới
- Bán hàng trên Facebook có cần đăng ký với Bộ Công Thương không?
- 3 Thư Viện JavaScript hứa hẹn nhất trong năm
- Lấy lại mật khẩu của mysql
- Những trang tạo web miễn phí, thiết kế web miễn phí, xây dựng website miễn phí
- IPTV Một số thuật ngữ liên quan tới dịch vụ truyền hình qua internet
- Hợp đồng Thương mại Quốc tế - Những nội dung doanh nghiệp cần quan tâm
* Viết ứng dụng cho smartphone và máy tính bảng: iPhone, iPad , Android, Tablet, Windows Phone, Blackberry, Uber app, Grab app, mạng xã hội, vận tải thông minh, thực tế ảo, game mobile,...
* Viết ứng dụng tìm và đặt xe, các hệ thống theo mô hình kinh tế chia sẻ, uber for x, ứng dụng giúp việc,...
* Xây dựng các giải pháp quản lý vận tải, quản lý xe công vụ, quản lý xe doanh nghiệp, phần mềm và ứng dụng logistics, kho vận, vé xe điện tử,...
* Tư vấn và xây dựng mạng xã hội, tư vấn giải pháp CNTT cho doanh nghiệp, startup, ...
Quý khách xem Hồ sơ năng lực của DVMS tại đây >>
Quý khách gửi yêu cầu tư vấn và báo giá tại đây >>