7 мобильных браузеров уязвимы к спуфингу адресной строки

7 мобильных браузеров уязвимы к спуфингу адресной строки

Уязвимости позволяют злоумышленникам подделать URL в адресной строке браузера и заманить жертву на вредоносный сайт.

Специалисты компании Rapid7 совместно с пакистанским исследователем безопасности Рафаем Балоком (Rafay Baloch) обнаружили в семи мобильных браузерах десять уязвимостей, позволяющих подделать URL в адресной строке. В список уязвимых браузеров входят Apple Safari, Opera Touch и Opera Mini, а также нишевые продукты, такие как Bolt, RITS, UC Browser и Яндекс.Браузер.

Исследователи обнаружили уязвимости ранее в нынешнем году и сообщили о них производителям в августе. Если крупные вендоры сразу же выпустили исправления, то меньшие даже не потрудились ответить.

Идентификаторы CVE присвоены только шести уязвимостям из десяти:

CVE-2020-7363 и CVE-2020-7364 – до сих пор не исправленные уязвимости в браузере UC Browser для Android;

CVE-2020-7369 – уязвимость в Яндекс.Браузер для Android Была исправлена вендором 1 октября в версии 20.8.4;

CVE-2020-7370 – уязвимость в iOS-версии Bolt;

CVE-2020-7371 – уязвимость Android-версии RITS;

CVE-2020-9987 – уязвимость в Apple Safari. Исправлена вендором.

Подробное описание уязвимостей, подготовленное Рафаем Балоком, доступно здесь .


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!