ASA-2018-00045 – Apple: Spoofing na barra de endereço


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00045

Identificador(es)

ASA-2018-00045, CVE-2018-4277

Título

Spoofing na barra de endereço

Fabricante(s)

Apple

Produto(s)

Apple watchOS
Apple iOS
Apple tvOS
Apple macOS High Sierra
Apple Safari

Versão(ões) afetada(s)

Apple watchOS anterior 4.3.2
Apple iOS anterior 11.4.1
Apple tvOS anterior 11.4.1
Apple macOS High Sierra anterior 10.13.5
Apple Safari anterior 11.1.1

Versão(ões) corrigida(s)

Apple watchOS 4.3.2
Apple iOS 11.4.1
Apple tvOS 11.4.1
Apple macOS High Sierra 10.13.5
Apple Safari 11.1.1

Prova de conceito

Desconhecido

Descrição

Um problema de spoofing existe na manipulação de URLs. Em produtos Apple, não há distinção entre a letra latina pequena dum (U+A771) e a letra latina pequena D (U+0064) então um atacante pode registrar domínios usando a primeira e eles aparecerão como a segunda.

O problema foi resolvido com validação de entrada aprimorada.

Referência(s)

Spoof All Domains Containing ‘d’ in Apple Products [CVE-2018-4277]
https://xlab.tencent.com/en/2018/11/13/cve-2018-4277/

About the security content of watchOS 4.3.2
https://support.apple.com/en-us/HT208935

About the security content of iOS 11.4.1
https://support.apple.com/en-us/HT208938

About the security content of tvOS 11.4.1
https://support.apple.com/en-us/HT208936

About the security content of macOS High Sierra 10.13.6, Security Update 2018-004 Sierra, Security Update 2018-004 El Capitan
https://support.apple.com/en-us/HT208937

About the security content of Safari 11.1.1
https://support.apple.com/en-us/HT208854

CVE-2018-4277
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-4277

CVE-2018-4277
https://nvd.nist.gov/vuln/detail/CVE-2018-4277

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 14 de novembro de 2018