Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/03/2012
El fallo, con un riesgo de seguridad moderado, se encuentra en el manejador de URLs cuando se utiliza la función JavaScript "window.open" de Apple Webkit/534.46. Este fallo podría ser aprovechado por un atacante remoto para suplantar la barra de direcciones y así engañar al usuario mostrando como dirección de la página actual una distinta a la realmente visitada. En resumen, para dar realismo a potenciales casos de phishing.
Vieria-Kurz ha publicado una prueba de concepto con la que se demuestra este fallo y cualquier. Cualquier usuario que visite con su terminal http://www.majorsecurity.net/safari-514-ios51-advisory.php,verá que la dirección que realmente aparece en el navegador Safari es www.apple.com.
Sistemas Afectados:Safari en iOS 5.1
Referencias:None
Solución:No existe parche disponible, por lo que se recomienda no visitar páginas importantes con Safari en iOS a través de un enlace que no sea de confianza. Por supuesto, actualizar tan pronto como vendedor publique el parche esté disponible.
Notas:Reporte oficial de MajorSecurity
http://www.majorsecurity.net/safari-514-ios51-advisory.php
Apple Safari en iOS 5.1 vulnerable a Address Bar Spoofing
http://www.seguridadapple.com/2012/03/apple-safari-en-ios-51-vulnerable.html
Peligro de phishing en iPhone
http://unaaldia.hispasec.com/2010/12/peligro-de-phishing-en-iphone.html