INT 4: HACKER

Web security research

Apple Safari browser address bar spoofing (CVE-2019-8670) / Safariのアドレスバー偽装の脆弱性

本稿は英語と日本語の内容を併記しています。日本語で書いた記事は、このページの下部にあります。

This article contains both English and Japanese content. Articles written in Japanese are at the bottom of this page.

f:id:reinforchu:20190720153055p:plain

Introduction


 I discovered and reported an address bar spoofing vulnerability in Apple Safari (included with macOS). As a result of discussions to fix this vulnerability, we have successfully released a security patch, which we report here. We would like to thank everyone who cooperated in fixing the vulnerability. Also, I do not offer CVE-2019-8670 attack methods or PoC or concrete screen captures right after security patch release from the point of view of user protection, respecting discussions with Apple Product Security and vulnerability disclosure policy.

 All of the articles and vulnerability reports were done on holidays and have nothing to do with my affiliation.

 

Overview 


 Address bar spoofing may occur if a malicious website (hyperlink) is accessed. This vulnerability has been resolved by fixing inconsistent user interface issues.

 

Details


 This vulnerability information will not be released prior to public release at the request of Apple Product Security. Thus, the detailed information in this article is limited to public information based on discussions and survey results with Apple Product Security. Please refer to the information published by Apple for the particularly affected versions.

 

Product: Safari, Safari Technology Preview
Available for: macOS Mojave 10.14.4-10.14.5 * It is a verification result at the time of reporting and it is not this limitation!
Impact: phishing may be exploited to steal personal or confidential information

 

 At the time of reporting, I did not exhaustively verify the combination of the previous OS version and the build and Safari versions, but latest versions of macOS such as High Sierra/Sierra Confirmed to be affected. In addition, this article describes only facts and refrains from describing the author(reporter) consideration or speculation.

 We are in discussions with Apple Product Security on whether I will disclose technical information about CVE-2019-8670 in the future.

 

Solution


 To fully address this vulnerability, update macOS to the latest version of the official released version. Note that some beta releases do not address this vulnerability. (e.g. macOS Mojave 10.14.6 beta)

 In the currently supported macOS, you can update to the latest version from the software update function.

support.apple.com

 Apple security updates are also available for manual download.

support.apple.com

 

References


support.apple.com

support.apple.comCVE-2019-8670 - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8670

 

 

[Japanese article]

はじめに


  Apple Safari(macOS付属)において、アドレスバー偽装の脆弱性を発見し報告しました。この脆弱性の修正に向け協議を進めた結果、無事にセキュリティパッチがリリースされましたので、ここにご報告いたします。脆弱性の修正にあたり、ご協力いただいた皆様に感謝を申し上げます。また、Apple Product Securityとの協議および脆弱性公開ポリシーを尊重し、ユーザ保護の観点からセキュリティパッチ公開直後において、私がCVE-2019-8670の攻撃手法やPoCおよび、具体的なスクリーンキャプチャを提供することはありません。

 蛇足ですが、本稿および脆弱性報告に関して、すべて休日に行ったものであり、私の所属先とは一切関係はありません。

 

概要


 悪意のあるWebサイト(ハイパーリンク)にアクセスした場合、アドレスバー偽装が行われる可能性があります。この脆弱性は、ユーザインタフェースの不一致の問題を改善することにより解決されました。

 

詳細情報


 本脆弱性情報はApple Product Securityの依頼により、一般公開に先立って公表することはありません。つきましては、本稿での詳細情報は、Apple Product Securityとの協議および調査結果に基づく公開情報に限定されます。特に影響するバージョンは、Appleが公開する情報を参照してください。

 
製品名: Safari, Safari Technology Preview
対象OS: macOS Mojave 10.14.4 - 10.14.5 * 報告時点の検証結果でありこの限りでない
影響: フィッシングに悪用され個人情報や機密情報が窃取される可能性がある

 

 報告時点において、過去のOSバージョンとビルドおよび、Safariのバージョンの組み合わせを網羅的に検証していませんが、High Sierra/SierraのサポートされているmacOSの最新のバージョンにおいても、この脆弱性の影響を受けることを確認しました。なお、本稿は事実のみを記載し、筆者(報告者)の考察や推測を述べることは差し控えます。今後、私からCVE-2019-8670に関しての技術的情報を開示するかどうかについては、Apple Product Securityと協議中です。

 

対策方法


  この脆弱性に完全に対処するためには、macOSを正式なリリース版の最新のバージョンにアップデートしてください。一部のbetaリリースには、この脆弱性に対応していないことに注意してください。(例: macOS Mojave 10.14.6 beta)

 通常、現在サポートされているmacOSにおいては、ソフトウェアアップデート機能から最新のバージョンにアップデートすることができます。

support.apple.com

 または、Appleのサイトから手動でアップデータをダウンロードすることもできます。

support.apple.com

 

参照


support.apple.com
support.apple.com

CVE-2019-8670 - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8670

 

その他の記事 / Other articles


 これらは関連性のある記事を列挙していますが、その内容の正確性を担保するものではありません。

 These list related articles, but do not guarantee the accuracy of the contents.

jvn.jpwww.rapid7.com

seclists.org

www.tenable.com

www.theregister.co.uk

www.security-next.com

forest.watch.impress.co.jp

Vulmon - https://vulmon.com/vendoradvisory?qidtp=apple_security_advisories&qid=57c142461babe556168e62847a4bf454

SecurityFocus - https://www.securityfocus.com/bid/109327