Некоторые вендоры еще работают над исправлением уязвимости.
Пакистанский ИБ-эксперт Рафай Балох (Rafay Baloch) обнаружил уязвимость в Chrome, Firefox и других браузерах, позволяющую подменять URL в адресной строке. Проблема, в частности затрагивающая Chrome для Android, связана с обработкой текста на иврите и арабском языке, написанного, как известно, справа налево.
Если атакующий использует URL, начинающийся с IP-адреса и содержащий символ арабского письма, хост и путь поменяются местами. К примеру, URL-адрес 127.0.0.1/ا/ http://example.com превращается в http://example.com/ا/127.0.0.1 , поскольку в нем содержится арабская буква «ا» («алеф»). Метод срабатывает и с любым другим арабским символом.
Как пояснил эксперт, для успешного осуществления атаки часть URL с указанием IP-адреса легко можно спрятать, особенно в мобильных браузерах (если выбрать длинный URL, например, google.com/fakepath/fakepath/fakepath/... /127.0.0.1).
Аналогичная уязвимость (CVE-2016-5267) ранее была обнаружена в Firefox. Однако в случае с браузером от Mozilla URL необязательно должен начинаться с IP-адреса, достаточно лишь арабского символа. К примеру, http://عربي.امارات/google.com/test/test/test становится google.com/test/test/test/عربي.امارات.
Google было известно об уязвимости еще год назад. В мае текущего года Балох уведомил компанию о такой же проблеме в Chrome для Android, и в конце июня она была исправлена. Mozilla устранила уязвимость 2 августа. По словам исследователя, проблема затрагивает и другие браузеры, в том числе десктопные. В отличие от Google и Mozilla неназванные вендоры еще только работают над обновлением.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках