警惕网址欺诈漏洞 部分主流浏览器中招-k8凯发游戏

警惕网址欺诈漏洞 部分主流浏览器中招
作者:中关村在线(北京) 发布时间:2016-08-20

近日,安全研究员rafay baloch披露了一个针对主流浏览器的网址欺诈的漏洞细节。在今年3月份,他曾在新加坡举行的black hat asia做过关于地址栏欺骗的主题报告。

unicode字符渲染不当引发漏洞

据baloch在个人网站中爆料,出现漏洞的主要原因是chrome和android版本的firefox浏览器对某些unicode字符的渲染不得当。阿拉伯语和希伯来语中会有一些字符是会从右到左显示的,比如“|”。当包含这种unicode字符的url和ip地址合在一起时,浏览器就会把url从右到左显示。

举个例子,某个网址逻辑上的顺序是“127.0.0.1/|/http://example.com/”,但是浏览器会在地址栏中把网址显示成“http://example.com/|/127.0.0.1”。 经过翻转的网址ip地址部分其实是很容易隐藏的,尤其是在移动设备上,只要用一个比较长的url就行了。

部分浏览器厂商跟进修复

目前,针对该漏洞,部分浏览器厂商已表示跟进修复动作。mozilla表示,该漏洞只存在于android版本的firefox浏览器,桌面版本不受影响,并且在8月2日的更新中已经修复了漏洞。基金会也为此向baloch奖励了1000美元。

chrome将于今年9月份推出针对此漏洞的更新补丁

google则表示会在今年9月份的chrome更新中修复此漏洞。

不过,其他几款浏览器也存在漏洞,但由于厂商尚未修复漏洞,因此还不能透露相关细节。其他浏览器用户需要密切关注下了。


网站地图