Falha expõe navegadores Edge e Safari para spoofing de endereços de internet

Usuários dos navegadores Microsoft Edge e, em especial, Apple Safari, devem redobrar a atenção quando estiverem passeando pelos seus sites favoritos na internet. Segundo informações divulgadas pelo pesquisador de cibersegurança Rafay Baloch, ambos os navegadores apresentaram uma falha que os deixava vulneráveis a ações de spoofing, ou seja, o ato de “mascarar” uma URL para que ela direcione o internauta a sites maliciosos sem que os protocolos de segurança percebam a mudança.

A falha em questão (CVE-2018-8383) resulta de uma condição que permite ao autor de um ataque começar o carregamento de uma página real e legítima, levando a URL oficial a aparecer na barra de navegação, mas rapidamente mudar o seu código para algo malicioso, sem alterações no endereço mostrado. Em outras palavras, isso pode permitir que alguém crie páginas falsas de login, formulários de cadastros e preenchimento de dados, efetivamente roubando informações importantes do usuário (imagine um e-commerce onde você está preenchendo os dados do seu cartão de crédito, por exemplo; ou então o login de alguma rede social).

Baloch postou vídeos no YouTube, mostrando o spoofing em ação:

O pesquisador reportou a vulnerabilidade a ambas as empresas em junho deste ano. Segundo o consenso de cibersegurança, as empresas têm até 90 dias a partir desta data para responder (ou o pesquisador pode divulgá-la para o público e mídia especializada). O prazo já passou, mas a Microsoft informa que um patch já corrigiu o erro. Baloch, porém, ainda não ouviu nenhum posicionamento da Apple.

Fonte: The Register