Safari e il baco camuffa URL

Il browser di Apple è affetto da una vulnerabilità nella gestione degli indirizzi Web, un meccanismo sfruttabile per mascherare siti Web e codice malevolo. Colpito anche Chrome, che però è già stato sistemato con una patch
Il browser di Apple è affetto da una vulnerabilità nella gestione degli indirizzi Web, un meccanismo sfruttabile per mascherare siti Web e codice malevolo. Colpito anche Chrome, che però è già stato sistemato con una patch

Le versioni desktop e mobile di Safari sono affette da una vulnerabilità sfruttabile per camuffare l’indirizzo del sito visitato dall’utente, un meccanismo di URL spoofing per cui è già disponibile il codice proof-of-concept e che ancora attende la distribuzione di una patch correttiva da parte di Apple.

La vulnerabilità è stata scoperta a febbraio, e permette a un malintenzionato di eseguire uno script – potenzialmente malevolo – subito prima di visitare la pagina Web interessata: nell’ exploit pubblicato dai ricercatori , il codice invita a visualizzare il sito del Daily Mail ( dailymail.co.uk ) mentre carica una pagina altrove.

L’exploit è stato testato con successo sulla versione iPad di Safari e funziona anche su iPhone e Mac, spiegano i ricercatori. La scelta del sito Daily Mail per illustrare il rischio del bug? Un “target” già usato in passato dai ricercatori della stessa azienda (Deusen) per una vulnerabilità di Internet Explorer.

Gli utenti dei prodotti della Mela dovranno ora attendere che Cupertino provveda ad aggiornare le varie versioni di Safari ancora supportate, mentre agli utenti del browser Chrome in versione Android – anch’esso a rischio di URL spoofing – è andata molto meglio: Google ha già provveduto a rilasciare le apposite patch per Android 4.4 e 5.0.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

21 05 2015
Link copiato negli appunti