Chrome, Firefox и, вероятно, другие популярные браузеры подвержены уязвимости, позволяющей атакующему подделать URL-адрес, отображаемый в адресной строке.

Представители Mozilla заявили, что уже выпустили патч для уязвимой версии Firefox для Android, а вот патч для Chrome выйдет лишь в сентябре, отметили представители Google.

Некоторые подробности этой уязвимости были на днях обнародованы ИБ-исследователем Рафеем Балохом (Rafay Baloch). Во время выступления на Black Hat Asia, проходившей в Сингапуре в марте этого года, он как раз таки делал доклад на тему спуфинга адресной строки.

В посте на своем личном веб-сайте Балох пишет, что нынешняя уязвимость вызвана тем, что Chrome и Firefox для Android некорректно обрабатывают Unicode-символы вроде «|», присутствующие в арабском и иврите. Надписи на этих языках обычно отображаются справа налево, и в тех случаях, когда этот символ используется при написании IP-адреса, URL-адрес тоже будет развернут и станет отображаться справа налево.

Как объясняет Балох, например, написав адрес «127.0.0.1/|/http://example.com/», он будет развернут и отобразится как «http://example.com/|/127.0.0.1».

«В мобильных версиях браузеров часть строки, в которой написан IP-адрес, можно с легкостью скрыть, используя длинный URL-адрес (google.com/fakepath/fakepath/fakepath/… /127.0.0.1) с таким расчетом, чтобы адрес выглядел наиболее реалистичным, — пишет эксперт. — Для придания дополнительной реалистичности можно использовать и Unicode-символ амбарного замка, таким образом создав видимость использования SSL».

В случае с Android-версией Firefox уязвимость (CVE-2016-5267) имеет свою специфику — в ее случае не требуется использование IP-адреса, отметил исследователь. Для ее эксплойта используются символы арабского языка.

«Компания Mozilla была уведомлена об этой уязвимости, присутствующей в мобильной версии Firefox. В версии для персональных компьютеров уязвимость отсутствует, — заявил старший ИБ-инженер Дэн Ведиц (Dan Veditz). — Патч для Firefox для Android, вышедший 2 августа, устранил данную проблему. Пользователям настоятельно рекомендуется обновить Firefox до последней версии».

Представители Mozilla подтвердили, что Балох получил вознаграждение в размере $1 тыс.

Поскольку пользователь видит адрес назначения в адресной строке (в браузере Chrome она называется Omnibox), то он вряд ли насторожится, отмечает исследователь. «Схожая уязвимость была обнаружена и в других браузерах, патчи для которых должны появиться в ближайшее время, — пишет Балох. — Пока я не буду обнародовать их подробности. Я сделаю это уже после выпуска патчей».

Выступая на Black Hat Asia, Балох рассказал об уязвимостях спуфинга адресной строки и контента в мобильных браузерах, в особенности для ОС Android, а также представил ряд атак, позволяющих обойти защитные механизмы вроде политики единого источника.

Категории: Уязвимости