• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • ############################
    |A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
    ############################

    Vulnerabilidad de falsificación de sitios web en Safari
    14/09/2018
    =============================================
    CVE-2018-8383
    Fecha de lanzamiento: 10/09/2018
    Gravedad: Alta
    =============================================

    VULNERABILIDAD
    --------------------------------------------------------------------------------

    Se ha descubierto una vulnerabilidad que podría permitir a los atacantes falsificar direcciones de sitios web legítimos para robar credenciales

    INFORMACIÓN
    --------------------------------------------------------------------------------

    Safari es un navegador web de código cerrado desarrollado por Apple Inc. Está disponible para macOS, iOS (el sistema usado por el iPhone, el iPod touch y iPad)

    DESCRIPCIÓN
    --------------------------------------------------------------------------------

    El fallo ha sido descubierto por el investigador de seguridad Rafay Baloch. La vulnerabilidad se debe a un problema de condición de carrera que permite a JavaScript actualizar la dirección de la página web en la URL mientras se carga la página.

    La explotación de esta vulnerabilidad podría permitir que un atacante inicialmente comience a cargar una página legítima y luego reemplazar el código en la web por uno malicioso.

    Baloch sigue sin exponer el código de la prueba de concepto de este último, pero dado que el de Microsoft Edge es público y el fallo es muy similar, cualquier persona con un conocimiento decente de JavaScript podría hacerlo funcionar en Safari.

    SISTEMAS AFECTADOS
    --------------------------------------------------------------------------------

    Si bien Microsoft solucionó el mes pasado esta misma vulnerabilidad que le afectaba en su navegador Edge, Safari aún no está parcheado.
    El propio investigador asegura que este fallo no afecta ni a Chrome ni a Firefox.

    SOLUCIÓN
    --------------------------------------------------------------------------------

    Los desarrolladores de Microsoft arreglaron el fallo antes de que pasara la fecha límite de 90 días desde que se le informó, pero Apple aún no ha puesto solución al error.

    FUENTE
    --------------------------------------------------------------------------------

    https://hispasec.com/es/