Уязвимость подмены домена через комбинацию арабских и индийских гласных с латинскими символами в Firefox
Описание
Некоторые арабские и индийские гласные символы можно комбинировать с латинскими символами в имени домена, что приводит к тому, что нелатинский символ становится невидимым для большинства пользователей при определенных наборах шрифтов на адресной строке. Это создает возможность атак подмены домена, так как такие комбинированные имена доменов не отображаются в виде punycode.
Затронутые версии ПО
- Firefox версий до 57
Тип уязвимости
Подмена домена
Ссылки
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingPermissions Required
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- Issue TrackingPermissions Required
- Vendor Advisory
Уязвимые конфигурации
EPSS
5.3 Medium
CVSS3
5 Medium
CVSS2
Дефекты
Связанные уязвимости
Some Arabic and Indic vowel marker characters can be combined with Latin characters in a domain name to eclipse the non-Latin character with some font sets on the addressbar. The non-Latin character will not be visible to most viewers. This allows for domain spoofing attacks because these combined domain names do not display as punycode. This vulnerability affects Firefox < 57.
Some Arabic and Indic vowel marker characters can be combined with Lat ...
Some Arabic and Indic vowel marker characters can be combined with Latin characters in a domain name to eclipse the non-Latin character with some font sets on the addressbar. The non-Latin character will not be visible to most viewers. This allows for domain spoofing attacks because these combined domain names do not display as punycode. This vulnerability affects Firefox < 57.
Уязвимость браузера Mozilla Firefox, связанная с недостатком механизма проверки вводимых данных в адресной строке, позволяющая нарушителю проводить спуфинг-атаки
EPSS
5.3 Medium
CVSS3
5 Medium
CVSS2