標題:Chrome 與 Firefox 有網釣漏洞,其他網站可假冒 apple.com
概念測試網站:(點進去,網址會顯示成假 appe 網站)
https://www.xn--80ak6aa92e.com/
摘要:
中國資安研究人員Xudong Zheng上周揭露了涉及Chrome與Firefox等瀏覽器的安全漏洞,相關漏洞在利用Punycode把基於國際碼(Unicode)申請的網域名稱轉成ASCII時,可形成網釣漏洞,用以詐騙使用者的機密資訊。
然而,Zheng發現Chrome與Firefox在該政策的部署上有所疏失,於是當他以Punycode格式申請”xn--80ak6aa92e.com”網域名稱時,在Chrome與Firefox上出現的是以Cyrillic字母呈現的”apple.com”,而在Safari上則依然出現最初的Punycode格式”xn--80ak6aa92e.com”。
Google已準備在預計於4月25日出爐的Chrome 58修補該漏洞,Firefox則尚未公布修補時程。Bleeping Computer的測試則發現,不只是Chrome與Firefox,Opera亦含有相關漏洞,至於IE、Microsoft Edge與Safari等瀏覽器則倖免於難。
引用來源:
http://www.ithome.com.tw/news/113520