The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.08.2016 23:24  Уязвимость, позволяющая отобразить иной домен в адресной строке браузера

В Google Chrome и Firefox для Android выявлена уязвимость, позволяющая отобразить в адресной строке произвольное имя вместо фактического домена, путём манипуляций unicode-символами языков с написанием букв справа-налево (RTL). Проблема вызвана ошибкой обработки в URL таких символов, как U+FE70, U+0622, U+0623, использование которых приводит к замене порядка слов в адресной строке.

Например, при открытии "http://127.0.0.1/%EF%B9%B0/http://google.com/test" в адресной строке будет показано "http://google.com/test/127.0.0.1", что может быть применено для скрытия попыток фишинга. Проблема уже устранена в Firefox 48 (CVE-2016-5267, проявляется только в версии для Android) и запланирована к исправлению в сентябрьском обновлении Chrome.

  1. Главная ссылка к новости (http://www.rafayhackingarticle...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: browser
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, AnotherReality1 (?), 23:38, 17/08/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Firefox 46.0.1
    Не работает, или я не понимаю как оно должно работать
     
     
  • 2.2, Аноним (-), 23:39, 17/08/2016 [^] [ответить]    [к модератору]
  • +1 +/
    Под андроидом?
     
     
  • 3.4, AnotherReality1 (?), 00:15, 18/08/2016 [^] [ответить]    [к модератору]
  • +/
    Да я косянул и проверял на компе. Но сейчас проверил на андроиде 47.0  тоже не работает.
    android 4.4
     
     
  • 4.5, obl (ok), 00:18, 18/08/2016 [^] [ответить]    [к модератору]
  • –1 +/
    Стар,  супер стар...  4.4!
     
     
  • 5.6, AnotherReality1 (?), 00:21, 18/08/2016 [^] [ответить]    [к модератору]
  • +/
    Увы MIUI под мой аппарат не выпустил версию 6.0
    А  стоковое ведро, даже под соусом циана, меня не вдохновляет
     
     
  • 6.45, obl (??), 12:25, 22/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Да раз miui то оно и к лучшему, в новых версиях оно очень погано с уведомлениями... весь текст скрыт [показать]
     
  • 4.7, Crazy Alex (ok), 00:42, 18/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    И что? Последняя приличная версия
     
     
  • 5.8, Аноним (-), 01:13, 18/08/2016 [^] [ответить]    [к модератору]  
  • +/
    FreeBSD тоже четверочку на серверах держите? Священное число!
     
     
  • 6.10, Crazy Alex (ok), 02:44, 18/08/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Фрю? Танунафиг. Но что ж делать, если этот их Material Design - какой-то рекорд уродства и маразма.
     
  • 5.12, xwild (ok), 04:18, 18/08/2016 [^] [ответить]     [к модератору]  
  • –6 +/
    Насколько я понимаю, нежелание принять новое это генетически запрограммированный... весь текст скрыт [показать]
     
     
  • 6.13, АнонимХ (ok), 05:57, 18/08/2016 [^] [ответить]    [к модератору]  
  • +7 +/
    Познавать новое - это не значит бросаться за блестящими безделушками как сорока или необразованный папуас. Подстилаться под маркетологов и горедизайнеров - вот где косяк, этого надо бояться как ярких грибов
     
     
  • 7.15, Аноним (-), 06:05, 18/08/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Не мешайте юноше убалтывать себя, что он очень умная и кокурентоспособная сорока.
     
  • 6.17, Vitaly_loki (ok), 06:41, 18/08/2016 [^] [ответить]     [к модератору]  
  • +5 +/
    До-о-о, все дебилы, к-е пользуются плитками на винфонах, материал дизайном на ве... весь текст скрыт [показать]
     
     
  • 7.25, Аноним (-), 14:12, 18/08/2016 [^] [ответить]    [к модератору]  
  • +/
    > познают новое и эффективно противостоят

    Увы,так оно и есть. Познают совершенно новые комбинации информационного шума и презирают все, что заставляет включить мозг. Куда катится мир?

     
     
  • 8.39, Аноним (-), 23:33, 18/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Вот бы заставить их генту компилять. Сразу стал бы коммунизм.


     
  • 7.35, Аноним (-), 21:06, 18/08/2016 [^] [ответить]    [к модератору]  
  • +/
    "социалочках" надо было сократить до "с-очках".
     
  • 6.20, xwild (ok), 08:17, 18/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Не троллинга ради, но может быть всё же в андроидах 5, 5.1, 6, 7 появись что-то кроме нового дизайна?
     
     
  • 7.21, aurved (?), 09:26, 18/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Ну таки вроде права приложению можно менять более гибко и вроде в старых версиях... весь текст скрыт [показать]
     
     
  • 8.37, Аноним (-), 21:57, 18/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Ой, это как в древнючей iOS 7? Шестёрку почти не застал, не знаю, там было такое. Наверное было.


     
     
  • 9.43, Michael Shigorin (ok), 12:01, 19/08/2016 [^] [ответить]    [к модератору]  
  • +/
    > Ой, это как в древнючей iOS 7?

    Прочитал было "OS 7", вспомнил девяностые...

    PS: System 7.x оно звалось, вот.

     
  • 7.26, AnotherReality1 (?), 14:14, 18/08/2016 [^] [ответить]    [к модератору]  
  • +/
    и в версии 6.0 появилась система doze, которая теоретически позволит уменьшить расход батареи
     
  • 6.27, Аноним (-), 14:17, 18/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > Насколько я понимаю, нежелание принять новое это генетически запрограммированный код.

    Человече, ты от обезьяны отличаешься как раз тем, что способен как принимать, так и создавать новое.

     
     
  • 7.31, Аноним (-), 18:35, 18/08/2016 [^] [ответить]     [к модератору]  
  • +/
    клоун обезьяны тоже могут Ты отличаешься способностями к абстрактному мышлению... весь текст скрыт [показать]
     
     
  • 8.40, Аноним (-), 23:38, 18/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Не могут Они могут использовать использовать некий предмет для достижения цели,... весь текст скрыт [показать]
     
  • 6.32, Аноним (-), 19:05, 18/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > Насколько я понимаю, нежелание принять новое это генетически запрограммированный код.

    Всмысле любой дизайнерский выкидыш надо принимать "на ура" и стоя апплодировать?

     
  • 5.16, Аноним (-), 06:05, 18/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Это да. Жалко свой смарт с 4.4 разбил а новый уже 5-й :\
     
  • 1.9, Аноним (-), 02:26, 18/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Прикольно))работает
     
  • 1.14, Аноним (-), 06:02, 18/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    UC Browser довольно старой версии 10.8.8 — не работает.
     
  • 1.18, _ (??), 06:49, 18/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В чем заключается ошибка обработки указанных символов?
     
     
  • 2.30, Нанобот (ok), 18:20, 18/08/2016 [^] [ответить]    [к модератору]  
  • +/
    (тут было какое-то сообщение, но потом его удалили, не обращайте внимание)
     
  • 1.19, Аноним (-), 07:12, 18/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Конец всем старым Androidфонам.
     
     
  • 2.29, НовыйЮзер (ok), 15:51, 18/08/2016 [^] [ответить]    [к модератору]  
  • +/
    меньше знаешь - крепче спишь :) Используй и не трусь! :)
     
  • 1.22, Аноним (-), 09:30, 18/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    В Palemoon не работает
     
     
  • 2.23, Vitaly_loki (ok), 09:59, 18/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Он работает на андроиде?
     
     
  • 3.24, ТТТ (?), 11:59, 18/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Да, работает.
     
  • 2.42, iPony (?), 05:40, 19/08/2016 [^] [ответить]    [к модератору]  
  • +/
    > В Palemoon не работает

    Там вообще что-то работает? Этот проект и на десктопе 1.5 фурфага ковыряют. А на ведроиде и вообще болт положили.

     
  • 1.28, userd (ok), 15:27, 18/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А у меня на настольном компьютере в хромиуме сработало.
    В адресной строке отображается "http://google.com/test/{странная закорючка}/127.0.0.1"
     
  • 1.33, XoRe (ok), 19:12, 18/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Баг с unicode в адресной строке. Шел 2016 год...
     
  • 1.44, Аноним (-), 20:52, 20/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Проверил в браузере Arachne - не работает.
     
     
  • 2.46, Аноним (-), 03:16, 24/08/2016 [^] [ответить]    [к модератору]  
  • +/
    как и весь юникод?
     
  • 1.47, Анонимомус (?), 16:32, 25/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Всегда считал, что RTL - зло и лишние костыли.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor