For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00045
Identificador(es)
ASA-2018-00045, CVE-2018-4277
Título
Spoofing na barra de endereço
Fabricante(s)
Apple
Produto(s)
Apple watchOS
Apple iOS
Apple tvOS
Apple macOS High Sierra
Apple Safari
Versão(ões) afetada(s)
Apple watchOS anterior 4.3.2
Apple iOS anterior 11.4.1
Apple tvOS anterior 11.4.1
Apple macOS High Sierra anterior 10.13.5
Apple Safari anterior 11.1.1
Versão(ões) corrigida(s)
Apple watchOS 4.3.2
Apple iOS 11.4.1
Apple tvOS 11.4.1
Apple macOS High Sierra 10.13.5
Apple Safari 11.1.1
Prova de conceito
Desconhecido
Descrição
Um problema de spoofing existe na manipulação de URLs. Em produtos Apple, não há distinção entre a letra latina pequena dum (U+A771) e a letra latina pequena D (U+0064) então um atacante pode registrar domínios usando a primeira e eles aparecerão como a segunda.
O problema foi resolvido com validação de entrada aprimorada.
Referência(s)
Spoof All Domains Containing ‘d’ in Apple Products [CVE-2018-4277]
https://xlab.tencent.com/en/2018/11/13/cve-2018-4277/
About the security content of watchOS 4.3.2
https://support.apple.com/en-us/HT208935
About the security content of iOS 11.4.1
https://support.apple.com/en-us/HT208938
About the security content of tvOS 11.4.1
https://support.apple.com/en-us/HT208936
About the security content of macOS High Sierra 10.13.6, Security Update 2018-004 Sierra, Security Update 2018-004 El Capitan
https://support.apple.com/en-us/HT208937
About the security content of Safari 11.1.1
https://support.apple.com/en-us/HT208854
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-4277
CVE-2018-4277
https://nvd.nist.gov/vuln/detail/CVE-2018-4277
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 14 de novembro de 2018