Пакистанский ИБ-исследователь Рафай Балох обнаружил уязвимость в Chrome, Firefox и других браузерах, позволявшую осуществлять подмену URL в адресной строке. Такая проблема, опасная в частности для пользователей Chrome для Android, связана с обработкой текста на иврите и арабском языке, слова в которых пишутся справа налево.
Если атакующий использует URL, начинающийся с IP-адреса и содержащий символ арабского письма, хост и путь поменяются местами. Например, URL-адрес 127.0.0.1/ا/http://example.com превращается в http://example.com/ا/127.0.0.1, так как в нем находится арабская буква «ا» («алеф»). Метод действенен и в случае с любым другим арабским символом.
По утверждению специалиста, для успешного проведения атаки часть URL с указанием IP-адреса можно с легкостью спрятать, особенно в браузерах мобильных (если выбрать длинный URL, например, google.com/fakepath/fakepath/fakepath/… /127.0.0.1).
Такая же уязвимость (CVE-2016-5267) ранее была найдена в браузере в Firefox. Тем не менее в случае с браузером от Mozilla URL необязательно должен начинаться с IP-адреса, достаточно только арабского символа. Например, http://عربي.امارات/google.com/test/test/test становится google.com/test/test/test/عربي.امارات.
Google стало известно об уязвимости год назад. В мае текущего года Балох уведомил компанию о такой же проблеме в Chrome для Android, и в конце июня она была исправлена. Mozilla устранила уязвимость 2 августа. По словам исследователя, проблема затрагивает и другие браузеры, в том числе десктопные. В отличие от Google и Mozilla неназванные вендоры еще только работают над обновлением.
Источник http://www.securitylab.ru/