Эксперты из Rapid7 совместно с ИБ-специалистом Рафаем Балоком обнаружили в мобильных браузерах уязвимости, позволяющие подделать URL в адресной строке. Такого рода угрозу представляют Apple Safari, Opera Touch, Opera Mini, Bolt, RITS, UC Browser и Яндекс.Браузер.
Уязвимости были выявлены ранее в этом году, но производителям о них сообщили в августе. Крупные игроки сразу выпустили исправления, меньшие вендоры – даже не ответили.
Идентификаторы CVE присвоены только шести уязвимостям из десяти:
CVE-2020-7363 и CVE-2020-7364 – до сих пор не исправленные уязвимости в браузере UC Browser для Android;
CVE-2020-7369 – уязвимость в Яндекс.Браузер для Android Была исправлена 1 октября в версии 20.8.4;
CVE-2020-7370 – уязвимость в iOS-версии Bolt;
CVE-2020-7371 – уязвимость Android-версии RITS;
CVE-2020-9987 – уязвимость в Apple Safari. Исправлена.