示意圖,與新聞事件無關。

中國資安研究人員Xudong Zheng上周揭露了涉及Chrome與Firefox等瀏覽器的安全漏洞,相關漏洞在利用Punycode把基於國際碼(Unicode)申請的網域名稱轉成ASCII時,可形成網釣漏洞,用以詐騙使用者的機密資訊。

全球的網域名稱都是基於ASCII字母表所建立的,主要顯示現代英文,但在多國語言的網域名稱興起後,新增了Punycode,這是一個可利用有限ASCII字元子集來表現Unicode文字的標準,以用來顯示不同語系的網域名稱,它的特性是具備”xn--“的前綴字串,例如網域名稱”xn--s7y.co”等同於”短.co”。

由於國際碼的字元有些長得跟ASCII字元很像,所以即使是申請不同的網域名稱,但透過Punycode轉換後可能會混淆視聽,這是發展Punycode時就曾考慮的問題,也早就被納入各大瀏覽器的安全政策中。

然而,Zheng發現Chrome與Firefox在該政策的部署上有所疏失,於是當他以Punycode格式申請”xn--80ak6aa92e.com”網域名稱時,在Chrome與Firefox上出現的是以Cyrillic字母呈現的”apple.com”,而在Safari上則依然出現最初的Punycode格式”xn--80ak6aa92e.com”。

下方的截圖中,上面的視窗為Chrome瀏覽器,網址列顯示Apple.com,而下面視窗的Safari瀏覽器顯示最初的Punycode格式”xn--80ak6aa92e.com”

Zheng設計了一個概念性驗證網頁 ,使用者可以自行用不同的瀏覽器進行測試,以判斷瀏覽器是否含有相關漏洞。

Google已準備在預計於4月25日出爐的Chrome 58修補該漏洞,Firefox則尚未公布修補時程。Bleeping Computer的測試則發現,不只是Chrome與Firefox,Opera亦含有相關漏洞,至於IE、Microsoft Edge與Safari等瀏覽器則倖免於難。


Advertisement

更多 iThome相關內容