CVE-2018-4277:一“丿”引发的欺骗

ang010ela 漏洞 2018年11月23日发布
Favorite收藏

导语:本文介绍苹果产品字母d字形问题引发的一个POC漏洞。

研究人员在寻找浏览器前端安全问题时发现Chrome, Safari, Firefox等浏览器中都存在安全漏洞。本文介绍苹果产品字母d字形问题造成的域名欺骗问题。

U+A771

研究人员发现苹果产品中的拉丁小写字母dum(U+A771)和拉丁小写字母d (U+0064)的字形非常相像。从标准的Unicode字形中,可以看到d后面有一撇,但在苹果产品的字形中这一撇被忽略了。

注册icloud.com

然后,研究人员注册了一个真实的域名,以进行IDN欺骗。Verisign的IDN注册规则是不允许混合的Unicode脚本注册。如果IDN含有2个及以上的Unicode脚本,注册就会被拒绝。因为(U+A771)属于拉丁语,所以符合域名注册规则,研究人员也成功注册了域名。

然后,研究人员注册了SSL证书来使IDN欺骗看着更加真实和完美。研究人员发现,Chrome / Firefox / Edge浏览器都是使用punycode来显示域名的,但Safari不是。

注: Punycode是一个根据RFC 3492标准而制定的编码系统,主要用于把域名从地方语言所采用的Unicode编码转换成为可用于DNS系统的编码。Punycode可以防止所谓的IDN欺骗。

测试结果

研究人员测试发现整个欺骗过程是完全可行的,所以攻击者可以欺骗所有含有字母d的域名。在Google Top 10K的域名中,大约有25%的含有字母d的域名可以被成功欺骗。包括:

• linkedin.com
• baidu.com
• jd.com
• adobe.com
• wordpress.com
• dropbox.com
• godaddy.com
• reddit.com
• …………

POC视频

http://xn--iclou-rl3s.com/CVE-2018-4277.mov

Apple补丁

本文翻译自:https://xlab.tencent.com/en/2018/11/13/cve-2018-4277/如若转载,请注明原文地址: http://www.4hou.com/vulnerable/14670.html
点赞 2
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论