Safari 10.1.1, geduwd als onderdeel van de huidige kleine macOS Sierra 10.12.5 software-update, corrigeert nog een ander exemplaar van spoofing van de adresbalk. Dit is goed nieuws, omdat de browser u nu kan beschermen tegen phishing-aanvallen die u normaal gesproken proberen te misleiden door te geloven dat u een echte website bezoekt in plaats van een kwaadwillig vervaardigde webpagina..
Volgens het beveiligingsdocument van het bedrijf lost de software een fout op waarbij het bezoeken van een kwaadwillende website kan leiden tot spoofing van de adresbalk. "Een inconsistent probleem met de gebruikersinterface is verholpen met verbeterd statusbeheer", zegt Apple.
Zelfs mensen die extreem bewust zijn van phishing, zijn vatbaar voor bar-spoofing.
De verfijning van de phishing-aanvallen van vandaag kwam aan het licht toen de Chinese veiligheidsonderzoeker Xudong Zheng liet zien hoe gemakkelijk gebruikers voor de gek konden worden gehouden om een nepwebsite te bezoeken die blijkbaar de juiste URL in de adresbalk toont.
Om uzelf in de toekomst tegen dergelijke aanvallen te beschermen, typt u handmatig de URL van de website die u wilt bezoeken of kiest u uw favoriete website in het menu Bladwijzers van Safari. Natuurlijk moet u vermijden op verdachte links in een e-mail te klikken, zelfs als deze afkomstig lijken te zijn van een contactpersoon die u persoonlijk kent.
De gepatchte kwetsbaarheid is ontdekt in Safari voor macOS, niet voor iOS.
Apple dankt Zhiyang Zeng en Yuyang Zhou van de afdeling Tencent Security Platform met de ontdekking van de kwetsbaarheid CVE-2017-2500 en Zhiyang Zeng van de Tencent Security Platform-afdeling met de ontdekking van de kwetsbaarheid CVE-2017-2511.
Bovendien heeft Safari 10.1.1 een probleem in het geschiedenismenu van Safari opgelost dat kon leiden tot een weigering van een toepassing na een bezoek aan een kwaadwillig vervaardigde webpagina. Het probleem werd verholpen door een verbeterde geheugenverwerking.
Ten slotte bevat Safari 10.1.1 ook patches voor maar liefst zeven kwetsbaarheden die zijn ontdekt in de WebKit-rendering-engine, waarvan vijf omgaan met universele cross-site scripting, terwijl een probleem met WebKit's Web Inspector werd opgelost waarbij een app niet-ondertekende code kon uitvoeren.
Safari 10.1.1 is beschikbaar voor OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 en macOS Sierra 10.12.5. Apple heeft vandaag ook een kleine update voor iTunes voor Mac en Windows uitgebracht.
iTunes 12.6.1 bevat niet-gespecificeerde app- en prestatieverbeteringen en een oplossing voor een WebKit-exploit op Windows 7 en hoger die kan leiden tot het uitvoeren van willekeurige code na het verwerken van kwaadwillig vervaardigde webinhoud.