XLAB ID: XLAB-15-022
CVE ID: CVE-2015-7093
Patch Status: 已修复
Vulnerability Details:
在苹果IOS版本的Safari浏览器中,存在一个对话框域来源欺骗漏洞。该漏洞可以使对话框被渲染到任意的一个域页面,并且对话框上的域名是和当前域相同的。这个漏洞可以让远程攻击者实施网络钓鱼攻击。攻击者可以利用此漏洞诱使受害者点击一个恶意链接,当链接被导航到一个可信站点(如Gmail),此时对话框会在这个可信站点弹出,用户在对话框输入信息后,此信息内容即可被攻击者获取到。
Discloure Timeline:
2015/8/25 | 向苹果公司 (product-security@apple.com) 提供漏洞细节 |
---|---|
2015/8/25 | 苹果公司邮件系统自动回复 |
2015/8/26 | 苹果公司邮件回复正在验证漏洞细节 |
2015/11/17 | 苹果公司询问致谢方式 |
2015/12/9 | 苹果公司官方发布安全公告,在IOS9.2正式版中修复了此漏洞,CVE-2015-7093 |
Credit:
漏洞发现者: xisigr