安全研究人员发现Edge和浏览器漏洞不改变网页内容

安全研究人员发现Edge和浏览器漏洞不改变网页内容

　　新浪科技讯北京时间9月12日消息，据美国科技媒体The Register报道，安全研究人员在Edge和Safari浏览器中发现了漏洞。恶意人员可以在不更改地址的情况下利用这些漏洞发起攻击。更改网页内容。

　　安全研究员拉斐·俾路支 (Rafay Baloch) 指出，微软已经使用补丁修复漏洞，但苹果行动迟缓，因此 Safari 仍然不安全。

　　攻击者可以通过该漏洞加载合法页面，在地址栏中显示网页地址，然后在不改变地址栏中URL地址的情况下，快速将页面中的代码转化为恶意代码。通过这种方式，攻击者可以创建虚假的登录屏幕或其他形式来采集用户名、密码和其他数据。用户很难辨别真假，他们会认为自己登录的页面是真实的。

　　浏览器源代码关闭。 Barocchi 不知道为什么 Edge 和 Safari 有这个漏洞，而 Chrome 和 Firefox 没有。根据他的猜测，浏览器决定何时显示页面地址可能是问题的关键。 Barocchi 说：“不同的浏览器处理导航的方式不同。当页面加载时，Safari 和 Edge 浏览器允许代码更新。浏览器可以允许在页面完全加载后更新一次地址栏，这样就可以解决问题。” "

　　微软现已修复该漏洞。 Baroch 于 6 月 2 日向苹果提交了报告，目前尚未修复。按照通常的 90 天窗口，Barocchi 表示他会披露漏洞，但在苹果发布补丁之前不会披露代码。 （德克）