Security Lab

Спуфинг атака в Mozilla Firefox

Дата публикации:03.03.2009
Дата изменения:22.04.2009
Всего просмотров:5603
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Спуфинг атака
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Mozilla Firefox 3.0.x
Уязвимые версии: Mozilla Firefox версии до 3.0.9

Описание:
Уязвимость позволяет удаленному пользователю произвести спуфинг атаку.

Уязвимость существует из-за ошибки в функционале IDN (International Domain Name). Удаленный пользователь может с помощью специально сформированного доменного имени подменить URL, отображаемый в адресной строке. Пример:

https://www.gmail.com/accounts/ServiceLogin?!f.ijjk.cn

Этот URL будет трансформирован в www.google.xn-- comaccountsservicelogin-5j9pia.f.ijjk.cn и пользователь будет перенаправлен на вредоносный сайт.

URL производителя: www.mozilla.com/en-US/firefox/

Решение: Установите последнюю версию 3.0.9 с сайта производителя.

Журнал изменений:

22.04.2009
Изменена секция «Решение».

Ссылки: MFSA 2009-15: URL spoofing with box drawing character

https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf