Scoperta una vulnerabilità nel motore di Apple Safari

Sfruttando una vulnerabilità individuata nel motore di rendering WebKit, un aggressore potrebbe riuscire a manipolare l’indirizzo visualizzato nella barra degli URL del browser portando l’utente a visitare siti web dannosi. L’aggressione riguarderebbe solamente la versione mobile di Apple Safari, insieme con una manciata di browser “alternativi” sviluppati da terze parti (viene citato, ad esempio, Dolphin HD).
Secondo l’autore della scoperta, David Vieira-Kurz, un malintenzionato potrebbe quindi bersagliare gli utenti di Apple iOS (quindi i possessori di iPhone ed iPad) reindirizzando il browser Safari verso pagine web malevole pur continuando a visualizzare, nella barra degli indirizzi, l’URL di un sito legittimo ed ampiamente conosciuto.
Stando ai dettagli sinora pubblicati, l’evento si verificherebbe nel momento in cui un aggressore utilizzasse il metodo JavaScript window.open().
La possibilità di esporre un indirizzo mentre, in realtà, si sta navigando su un’altra pagina web, apre le porte a nuovi attacchi phishing: un aggressore, infatti, potrebbe decidere di allestire un sito Internet che, graficamente, imita la struttura della home page di un istituto bancario o di siti che richiedono l’inserimento di credenziali d’accesso e dati personali degli utenti. Esponendo un URL fasullo nella barra di navigazione, l’utente potrebbe così trasmettere inconsapevolmente i suoi dati al truffatore.
Vieira-Kurz ha precisato come la falla sia presente nell’ultima versione del sistema operativo Apple iOS – la 5.1 – e non esclude che possa riguardare anche le versioni precedenti.