Уязвимость подмены доменного имени в адресной строке через использование комбинации точки и буквы 'i' в Mozilla Firefox
Описание
Объединённая, одиночная версия буквы «i» с любым из возможных акцентов в Unicode, таких как акут или гравис, может быть подделана в адресной строке с помощью буквы «i» без точки, за которой следует тот же акцент в качестве второго символа, в большинстве наборов шрифтов. Это позволяет осуществлять атаки подмены домена (domain spoofing), поскольку такие комбинированные доменные имена не отображаются в виде punycode.
Затронутые версии ПО
- Firefox версий ниже 57
Тип уязвимости
Подмена (спуфинг) доменного имени
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingPermissions Required
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingPermissions Required
- Vendor Advisory
Уязвимые конфигурации
EPSS
5.3 Medium
CVSS3
5 Medium
CVSS2
Дефекты
Связанные уязвимости
The combined, single character, version of the letter 'i' with any of the potential accents in unicode, such as acute or grave, can be spoofed in the addressbar by the dotless version of 'i' followed by the same accent as a second character with most font sets. This allows for domain spoofing attacks because these combined domain names do not display as punycode. This vulnerability affects Firefox < 57.
The combined, single character, version of the letter 'i' with any of ...
The combined, single character, version of the letter 'i' with any of the potential accents in unicode, such as acute or grave, can be spoofed in the addressbar by the dotless version of 'i' followed by the same accent as a second character with most font sets. This allows for domain spoofing attacks because these combined domain names do not display as punycode. This vulnerability affects Firefox < 57.
Уязвимость браузера Mozilla Firefox, связанная с недостатком механизма проверки вводимых данных, позволяющая нарушителю проводить спуфинг-атаки
EPSS
5.3 Medium
CVSS3
5 Medium
CVSS2