Vigil@nce - Chrome, Firefox : usurpation de site via homographes
juin 2017 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer une url avec des caractères Unicode
ressemblant à des caractères ASCII, afin de tromper la victime.
Produits concernés : Chrome, Firefox, SeaMonkey, Opera.
Gravité : 2/4.
Date création : 18/04/2017.
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs caractères Unicode (comme U+0430) ont une apparence
similaire au caractère ASCII ’a’. Certains attaquants utilisent
des noms de domaine contenant ces variations, afin d’inciter la
victime à cliquer sur un lien.
Ce type d’attaque, basée sur des homographes, a déjà fait
l’objet de plusieurs bulletins (VIGILANCE-VUL-4729 et
VIGILANCE-VUL-8497). Des correctifs ont été implémentés dans
la majorité des logiciels.
Cependant, lorsque le nom est composé uniquement de caractères
Unicode, les protections de Chrome et Firefox sont contournées.
Par exemple, https://xn--e1awd7f.com/ est affiché
https://www.epic.com/. De plus, comme un certificat valide pour ce
nom de domaine peut être obtenu par Let’s Encrypt, un attaquant
peut facilement usurper un site TLS.
Un attaquant peut donc employer une url avec des caractères
Unicode ressemblant à des caractères ASCII, afin de tromper la
victime.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Chrome-Firefox-usurpation-de-site-via-homographes-22467