Een spoofing-lek in Google Chrome maakt het mogelijk voor een kwaadaardige website om de adresbalk te vervalsen, waarbij de browser ook een geldig SSL-certificaat laat zien. De aanval werd afgelopen dinsdag op de Full-disclosure mailinglist door onderzoeker David Leo geopenbaard.
Vervolgens werd de demonstratie van Leo aangepast door Mustafa Al-Bassam, waarbij de HTTPS-versie van Facebook werd gespooft. Het beveiligingsbedrijf waarvoor Leo werkt rapporteerde het probleem aan Google, maar de internetgigant liet weten de kwetsbaarheid niet te zullen verhelpen, omdat er eigenlijk sprake van een Denial of Service is, ook al crasht de browser niet.
De impact van het spoofing-lek is daarnaast beperkt, aangezien gebruikers niets in de gespoofte pop-up of pagina kunnen doen. Een directe phishingaanval via deze kwetsbaarheid is dan ook niet mogelijk, merkt Al-Bassam op. Lezers van Hacker News melden dat het spoofingprobleem deels ook bij Firefox aanwezig is, alleen daar de browser wel crasht.
Deze posting is gelocked. Reageren is niet meer mogelijk.