Chrome與Firefox有網釣漏洞，其他網站可假冒apple.com

中國資安研究人員Xudong Zheng上周揭露了涉及Chrome與Firefox等瀏覽器的安全漏洞，相關漏洞在利用Punycode把基於國際碼（Unicode）申請的網域名稱轉成ASCII時，可形成網釣漏洞，用以詐騙使用者的機密資訊。

全球的網域名稱都是基於ASCII字母表所建立的，主要顯示現代英文，但在多國語言的網域名稱興起後，新增了Punycode，這是一個可利用有限ASCII字元子集來表現Unicode文字的標準，以用來顯示不同語系的網域名稱，它的特性是具備”xn--“的前綴字串，例如網域名稱”xn--s7y.co”等同於”短.co”。

由於國際碼的字元有些長得跟ASCII字元很像，所以即使是申請不同的網域名稱，但透過Punycode轉換後可能會混淆視聽，這是發展Punycode時就曾考慮的問題，也早就被納入各大瀏覽器的安全政策中。

然而，Zheng發現Chrome與Firefox在該政策的部署上有所疏失，於是當他以Punycode格式申請”xn--80ak6aa92e.com”網域名稱時，在Chrome與Firefox上出現的是以Cyrillic字母呈現的”apple.com”，而在Safari上則依然出現最初的Punycode格式”xn--80ak6aa92e.com”。

下方的截圖中，上面的視窗為Chrome瀏覽器，網址列顯示Apple.com，而下面視窗的Safari瀏覽器顯示最初的Punycode格式”xn--80ak6aa92e.com”。

Zheng設計了一個概念性驗證網頁 ，使用者可以自行用不同的瀏覽器進行測試，以判斷瀏覽器是否含有相關漏洞。

Google已準備在預計於4月25日出爐的Chrome 58修補該漏洞，Firefox則尚未公布修補時程。Bleeping Computer的測試則發現，不只是Chrome與Firefox，Opera亦含有相關漏洞，至於IE、Microsoft Edge與Safari等瀏覽器則倖免於難。