Раскрыты подробности бага спуфинга адресной строки в Chrome, Firefox и других браузерах
Новости Безопасность
Chrome, Firefox и, вероятно, другие популярные браузеры подвержены уязвимости, позволяющей атакующему подделать URL-адрес, отображаемый в адресной строке, пишет 18 августа Threatpost.
Представители Mozilla заявили, что уже выпустили патч для уязвимой версии Firefox для Android, а вот патч для Chrome выйдет лишь в сентябре, отметили представители Google.
Некоторые подробности этой уязвимости были на днях обнародованы ИБ-исследователем Рафеем Балохом (Rafay Baloch). Во время выступления на Black Hat Asia, проходившей в Сингапуре в марте этого года, он как раз таки делал доклад на тему спуфинга адресной строки.
В посте на своем сайте Балох пишет, что нынешняя уязвимость вызваны тем, что Chrome и Firefox для Andoid, некорректно обрабатывают Unicode-символы вроде «» присутствующие в арабском и иврите. Надписи на этих языках обычно отображаются справа налево, и в тех случаях, когда этот символ используется при написании IP-адреса, URL-адрес тоже будет развернут и станет отображаться справа налево.
Как объясняет Балох, например, написав адрес «127.0.0.1//http://example.com/», он будет развернут и отобразится как «http://example.com//127.0.0.1.».
«В мобильных версиях браузеров часть строки, в которой написан IP-адрес, можно с легкостью скрыть, используя длинный URL-адрес (google.com/fakepath/fakepath/fakepath/… /127.0.0.1) с таким расчетом, что бы адрес выглядел наиболее реалистичным, — пишет эксперт. — Для придания дополнительной реалистичности, можно использовать и Unicode-символ амбарного замка, таким образом, создав видимость использования SSL».
В случае с Android-версией Firefox, уязвимость (CVE-2016-5267) имеет свою специфику — в ее случае не требуется использования IP-адреса, отметил исследователь. Для ее экслойта используются символы арабского языка.
Поскольку пользователь видит адрес назначения в адресной строке (в браузере Chrome она называется Omnibox ), то он вряд ли насторожится, отмечает исследователь. «Схожая уязвимость была обнаружена и в других браузерах, патчи для которых должны появиться в ближайшее время, — пишет Балох. — Пока что я не буду обнародовать их подробности. Я сделаю это уже после выпуска патчей».
28.04.2025 16:46
Для дропперов введут уголовную ответственность
Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
