Подмена URL и SSL сертификатов в IDN реализации в нескольких браузерах
| Дата публикации: | 10.02.2005 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 4050 |
| Опасность: | Средняя |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: Mozilla 1.6, Mozilla Firefox 1.0, Mozilla Camino .8.5, KDE Konquer, Apple Safari 1.2.5, Opera 7.54, Omniweb 5
Описание: Уязвимость существует при обработке IDN (International Domain Names) во многих браузерах. Удаленный пользователь может создать специально сформированную HTML страницу, которая при загрузке отобразит в строке URL целевого сайта. Если целевой сайт использует SSL с валидным сертификатом, браузер авторизует сайт, но отобразит подмененный URL как подлинный. Пример: имя домена 'domаin' будет отображено как 'domain'. Уязвимость может быть использована для подмены всего сайта и хищения важной информации пользователей. Пример/Эксплоит: http://www.shmoo.com/idn/ Решение: Способов устранения уязвимости не существует в настоящее время. |
|
| Ссылки: | International Domain Name [IDN] support in modern browsers allows attackers to spoof domain name URLs + SSL certs |