חוקר אבטחה חשף בעיה שיכולה לאפשר לזייף כתובות אתרים ב-iOS Safari ובדפדפן Edge של מיקרוסופט.
החוקררפי בלוךמסביר שהפגיעות כוללת דף אינטרנט שנוצר במיוחדאשר יטען ערכת תוכן תוך הצגת כתובת URL ספציפית בשורת הכתובת, ולאחר מכן תכתוב מחדש את קוד הגוף של הדף מבלי לעדכן את כתובת האתר. לדברי החוקר,הפגם אפשר ל-Javascript לעדכן את שורת הכתובת בזמן שהדף נטען.
כאשר מתבקשים נתונים מאיציאה לא קיימת
, הכתובת נשמרת ובגללתנאי מרוץ במשאב המבוקש על ידי יציאה לא קיימת בשילוב עם ההשהיה שנגרמה על ידי הפונקציה setInterval
, ניתן לזייף.זה אפשר לדף זדוני להציג את מה שנראה כדף אמיתי, עם כתובת URL נכונה.
הפגיעות דווחה לאפל ולמיקרוסופט ב-2 ביוני.החוקר פרסם פרטים על הפגם ב-10 בספטמבר, מבלי לתת את המפתח הדרוש לשימוש בו, שכן אפל עדיין לא אישרה שהפרצה זו תוקנה. מצידה, מיקרוסופט פרסמה תיקון ב-14 באוגוסט.
