示意图,与新闻事件无关。
中国资安研究人员Xudong Zheng上周揭露了涉及Chrome与Firefox等浏览器的安全漏洞,相关漏洞在利用Punycode把基于国际码(Unicode)申请的网域名称转成ASCII时,可形成网钓漏洞,用以诈骗使用者的机密资讯。
全球的网域名称都是基于ASCII字母表所建立的,主要显示现代英文,但在多国语言的网域名称兴起后,新增了Punycode,这是一个可利用有限ASCII字元子集来表现Unicode文字的标準,以用来显示不同语系的网域名称,它的特性是具备”xn--“的前缀字串,例如网域名称”xn--s7y.co”等同于”短.co”。
由于国际码的字元有些长得跟ASCII字元很像,所以即使是申请不同的网域名称,但透过Punycode转换后可能会混淆视听,这是发展Punycode时就曾考虑的问题,也早就被纳入各大浏览器的安全政策中。
然而,Zheng发现Chrome与Firefox在该政策的部署上有所疏失,于是当他以Punycode格式申请”xn--80ak6aa92e.com”网域名称时,在Chrome与Firefox上出现的是以Cyrillic字母呈现的”apple.com”,而在Safari上则依然出现最初的Punycode格式”xn--80ak6aa92e.com”。
下方的截图中,上面的视窗为Chrome浏览器,网址列显示Apple.com,而下面视窗的Safari浏览器显示最初的Punycode格式”xn--80ak6aa92e.com”。
Zheng设计了一个概念性验证网页 ,使用者可以自行用不同的浏览器进行测试,以判断浏览器是否含有相关漏洞。
Google已準备在预计于4月25日出炉的Chrome 58修补该漏洞,Firefox则尚未公布修补时程。Bleeping Computer的测试则发现,不只是Chrome与Firefox,Opera亦含有相关漏洞,至于IE、Microsoft Edge与Safari等浏览器则倖免于难。
I 相关 / Other
实时热点 假冒工人讨薪被拘这是怎么回事呢?“在3月初,有几名工人突然找到我们公司,称我们欠他们的工资没有发。当他们拿出自己做的工资单时吓了我一跳,足足...假冒工人讨薪被拘;新人只签到露一面就走。37人诈骗团伙
(原标题:美“海豹”军官狂拍色情片遭调查曾担官方网站封面人物)最近,美国精英海军部队——“海豹”突击队一名老队员被爆在成人电影中出演,军方目前正展开调查。据英国《卫报》16日报道,美国海军正调查首席特种
(原标题:携程国旅等多家网站已无赴朝跟团游)中新经纬客户端4月15日电中新经纬客户端发现,近期国内最大的旅游网站之一携程下架了所有朝鲜游产品。在携程网站上输入“朝鲜”搜索全部产品,显示“没有找到符合条件的
《三生三世十里桃花》作者再发声称被冒名顶替并曝光假冒者照片日前,《三生三世十里桃花》作者唐七公子和前经纪公司的纠纷呈愈演愈烈的趋势,在4月1日宣布解除与北京中联百文文化传媒有限公司的经纪合约关系不到半个
家长们要注意了,成人网站疯传黄色视频,所以一定要看好小孩!连日来,各地有不少群众打电话到举报中心,反映孩子因接触淫秽色情网站而犯罪或成为坏学生,强烈要求严厉打击网上黄毒。如果小孩接触到淫秽色情内容有什