Подмена URL и SSL сертификатов в IDN реализации в нескольких браузерах

Дата публикации:
10.02.2005
Дата изменения:
17.10.2006
Всего просмотров:
3721
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Mozilla 1.6, Mozilla Firefox 1.0, Mozilla Camino .8.5, KDE Konquer, Apple Safari 1.2.5, Opera 7.54, Omniweb 5

Описание:
Уязвимость позволяет злоумышленнику подменить URL и SSL сертификаты и получить доступ к важным данным пользователей.

Уязвимость существует при обработке IDN (International Domain Names) во многих браузерах. Удаленный пользователь может создать специально сформированную HTML страницу, которая при загрузке отобразит в строке URL целевого сайта. Если целевой сайт использует SSL с валидным сертификатом, браузер авторизует сайт, но отобразит подмененный URL как подлинный.

Пример: имя домена 'domаin' будет отображено как 'domain'.

Уязвимость может быть использована для подмены всего сайта и хищения важной информации пользователей.

Пример/Эксплоит: http://www.shmoo.com/idn/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: International Domain Name [IDN] support in modern browsers allows attackers to spoof domain name URLs + SSL certs

или введите имя

CAPTCHA