Le versioni desktop e mobile di Safari sono affette da una vulnerabilità sfruttabile per camuffare l’indirizzo del sito visitato dall’utente, un meccanismo di URL spoofing per cui è già disponibile il codice proof-of-concept e che ancora attende la distribuzione di una patch correttiva da parte di Apple.
La vulnerabilità è stata scoperta a febbraio, e permette a un malintenzionato di eseguire uno script – potenzialmente malevolo – subito prima di visitare la pagina Web interessata: nell’ exploit pubblicato dai ricercatori , il codice invita a visualizzare il sito del Daily Mail ( dailymail.co.uk ) mentre carica una pagina altrove.
L’exploit è stato testato con successo sulla versione iPad di Safari e funziona anche su iPhone e Mac, spiegano i ricercatori. La scelta del sito Daily Mail per illustrare il rischio del bug? Un “target” già usato in passato dai ricercatori della stessa azienda (Deusen) per una vulnerabilità di Internet Explorer.
Gli utenti dei prodotti della Mela dovranno ora attendere che Cupertino provveda ad aggiornare le varie versioni di Safari ancora supportate, mentre agli utenti del browser Chrome in versione Android – anch’esso a rischio di URL spoofing – è andata molto meglio: Google ha già provveduto a rilasciare le apposite patch per Android 4.4 e 5.0.
Alfonso Maruccia