The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость, позволяющая отобразить иной домен в адресной строке браузера

17.08.2016 23:24

В Google Chrome и Firefox для Android выявлена уязвимость, позволяющая отобразить в адресной строке произвольное имя вместо фактического домена, путём манипуляций unicode-символами языков с написанием букв справа-налево (RTL). Проблема вызвана ошибкой обработки в URL таких символов, как U+FE70, U+0622, U+0623, использование которых приводит к замене порядка слов в адресной строке.

Например, при открытии "http://127.0.0.1/%EF%B9%B0/http://google.com/test" в адресной строке будет показано "http://google.com/test/127.0.0.1", что может быть применено для скрытия попыток фишинга. Проблема уже устранена в Firefox 48 (CVE-2016-5267, проявляется только в версии для Android) и запланирована к исправлению в сентябрьском обновлении Chrome.

  1. Главная ссылка к новости (http://www.rafayhackingarticle...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/44985-browser
Ключевые слова: browser
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, AnotherReality1 (?), 23:38, 17/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Firefox 46.0.1
    Не работает, или я не понимаю как оно должно работать
     
     
  • 2.2, Аноним (-), 23:39, 17/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Под андроидом?
     
     
  • 3.4, AnotherReality1 (?), 00:15, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да я косянул и проверял на компе. Но сейчас проверил на андроиде 47.0  тоже не работает.
    android 4.4
     
     
  • 4.5, obl (ok), 00:18, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Стар,  супер стар...  4.4!
     
     
  • 5.6, AnotherReality1 (?), 00:21, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Увы MIUI под мой аппарат не выпустил версию 6.0
    А  стоковое ведро, даже под соусом циана, меня не вдохновляет
     
     
  • 6.45, obl (??), 12:25, 22/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Увы MIUI под мой аппарат не выпустил версию 6.0
    > А  стоковое ведро, даже под соусом циана, меня не вдохновляет

    Да раз miui то оно и к лучшему, в новых версиях оно очень погано с уведомлениями работает, пришлось шить циан.

     
  • 4.7, Crazy Alex (ok), 00:42, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И что? Последняя приличная версия
     
     
  • 5.8, Аноним (-), 01:13, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    FreeBSD тоже четверочку на серверах держите? Священное число!
     
     
  • 6.10, Crazy Alex (ok), 02:44, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Фрю? Танунафиг. Но что ж делать, если этот их Material Design - какой-то рекорд уродства и маразма.
     
  • 5.12, xwild (ok), 04:18, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Насколько я понимаю, нежелание принять новое это генетически запрограммированный код.

    То есть если человек из каменного века съест новый красивый гриб, то он скорее всего умрет, а так как передачи информации не было, в итоге это хорошо закрепилось в подсознании через тысячи поколений.

    В современном мире обратная ситуация, если ты не принимаешь новое, то будешь получать меньше ресурсов, но это никак не закрепилось, потому что этому явлению от силы 100 лет.

    Если осознать это, то можно сыграть на чувстве противостояния и эффективно бороться, таки познавая новое и получая ресурсы.

     
     
  • 6.13, АнонимХ (ok), 05:57, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Познавать новое - это не значит бросаться за блестящими безделушками как сорока или необразованный папуас. Подстилаться под маркетологов и горедизайнеров - вот где косяк, этого надо бояться как ярких грибов
     
     
  • 7.15, Аноним (-), 06:05, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не мешайте юноше убалтывать себя, что он очень умная и кокурентоспособная сорока.
     
  • 6.17, Vitaly_loki (ok), 06:41, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    До-о-о, все дебилы, к-е пользуются плитками на винфонах, материал дизайном на ведроиде, кто смотрит Дом-2 и ТНТ, постят фоточки в социалочках, оказывается познают новое и эффективно противостоят всяким Аланах Коксам и прочим Столлманам.
     
     
  • 7.25, Аноним (-), 14:12, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > познают новое и эффективно противостоят

    Увы,так оно и есть. Познают совершенно новые комбинации информационного шума и презирают все, что заставляет включить мозг. Куда катится мир?

     
     
  • 8.39, Аноним (-), 23:33, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот бы заставить их генту компилять Сразу стал бы коммунизм ... текст свёрнут, показать
     
  • 7.35, Аноним (-), 21:06, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    "социалочках" надо было сократить до "с-очках".
     
  • 6.20, xwild (ok), 08:17, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не троллинга ради, но может быть всё же в андроидах 5, 5.1, 6, 7 появись что-то кроме нового дизайна?
     
     
  • 7.21, aurved (?), 09:26, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну таки вроде права приложению можно менять более гибко и вроде в старых версиях только при инсталляции спрашивали что можно и нельзя, сейчас можно менять когда хочешь.
    Приложения при инсталляции компилируются, ставятся чуть дольше, но работают быстрее и жрут батарею от этого меньше.
     
     
  • 8.37, Аноним (-), 21:57, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ой, это как в древнючей iOS 7 Шестёрку почти не застал, не знаю, там было такое... текст свёрнут, показать
     
     
  • 9.43, Michael Shigorin (ok), 12:01, 19/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Прочитал было OS 7 , вспомнил девяностые PS System 7 x оно звалось, вот ... текст свёрнут, показать
     
  • 7.26, AnotherReality1 (?), 14:14, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    и в версии 6.0 появилась система doze, которая теоретически позволит уменьшить расход батареи
     
  • 6.27, Аноним (-), 14:17, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Насколько я понимаю, нежелание принять новое это генетически запрограммированный код.

    Человече, ты от обезьяны отличаешься как раз тем, что способен как принимать, так и создавать новое.

     
     
  • 7.31, Аноним (-), 18:35, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    клоун: обезьяны тоже могут. Ты отличаешься способностями к абстрактному мышлению. Обезьяны (как и прочие животные) физически не способны делать рутинные, скучные и неинтересные действия длительное время. Поэтому обезьяну научили говорить (см. Уошо), но не смогли заставить работать по 8 часов в день.
     
     
  • 8.40, Аноним (-), 23:38, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не могут Они могут использовать использовать некий предмет для достижения цели,... текст свёрнут, показать
     
  • 6.32, Аноним (-), 19:05, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Насколько я понимаю, нежелание принять новое это генетически запрограммированный код.

    Всмысле любой дизайнерский выкидыш надо принимать "на ура" и стоя апплодировать?

     
  • 5.16, Аноним (-), 06:05, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это да. Жалко свой смарт с 4.4 разбил а новый уже 5-й :\
     

  • 1.9, Аноним (-), 02:26, 18/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Прикольно))работает
     
  • 1.14, Аноним (-), 06:02, 18/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    UC Browser довольно старой версии 10.8.8 — не работает.
     
  • 1.18, _ (??), 06:49, 18/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В чем заключается ошибка обработки указанных символов?
     
     
  • 2.30, Нанобот (ok), 18:20, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    (тут было какое-то сообщение, но потом его удалили, не обращайте внимание)
     

  • 1.19, Аноним (-), 07:12, 18/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Конец всем старым Androidфонам.
     
     
  • 2.29, НовыйЮзер (ok), 15:51, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    меньше знаешь - крепче спишь :) Используй и не трусь! :)
     

  • 1.22, Аноним (-), 09:30, 18/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В Palemoon не работает
     
     
  • 2.23, Vitaly_loki (ok), 09:59, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Он работает на андроиде?
     
     
  • 3.24, ТТТ (?), 11:59, 18/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, работает.
     
  • 2.42, iPony (?), 05:40, 19/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > В Palemoon не работает

    Там вообще что-то работает? Этот проект и на десктопе 1.5 фурфага ковыряют. А на ведроиде и вообще болт положили.

     

  • 1.28, userd (ok), 15:27, 18/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у меня на настольном компьютере в хромиуме сработало.
    В адресной строке отображается "http://google.com/test/{странная закорючка}/127.0.0.1"
     
  • 1.33, XoRe (ok), 19:12, 18/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Баг с unicode в адресной строке. Шел 2016 год...
     
  • 1.44, Аноним (-), 20:52, 20/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проверил в браузере Arachne - не работает.
     
     
  • 2.46, Аноним (-), 03:16, 24/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    как и весь юникод?
     

  • 1.47, Анонимомус (?), 16:32, 25/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всегда считал, что RTL - зло и лишние костыли.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру