ψIDN処理に起因する表示偽装の脆弱性、OperaやFirefoxなどに影響

■IDN処理に起因する表示偽装の脆弱性、OperaやFirefoxなどに影響（05/02/08）

　2月8日、MozillaやFirefox、Opera、Safariなど複数のWebブラウザに、IDN（国際化ドメイン名）の処理に
関連する脆弱性が存在することが明らかになった。悪用されれば、アドレスバーやステータスバーのドメイン名表示や
電子証明書の表示を偽装され、フィッシング詐欺などにつながる恐れがある。

　一般にドメイン名の表記にはASCII文字が利用されているが、IDNは、その表記に日本語や韓国語、中国語など、
英数字以外の文字列を利用できるようにするための仕様だ。日本でも「日本語ドメイン名」として登録、運用が
始まっている。

　具体的には、リンク先として「http://www.paypаl.com/」のような文字列を仕掛けておく。脆弱性のある
（＝IDN対応の）ブラウザでこのリンクをクリックすると、Punycode変換の結果「http://www.xn--pypal-4ve.com」
というまったく異なるWebサイトにアクセスするにも関わらず、アドレスバーには「http://www.paypаl.com/」と
表記されてしまう。ジャンプ前にマウスを当該URLにかざした場合も、ステータスバーには「http://www.paypаl.com/」
と表示される。2つめの「a」はキリル文字で、このようにアルファベットと似たような文字を表示させてユーザーの目を
ごまかそうとする手口だ。
　発見者によるとこの問題が存在するのは、Mozilla 1.6、Firefox 1.0やCamino0.8.5といった
MozillaベースのWebブラウザのほか、Safari 1.2.5、Opera 7.54、Omniweb 5など。
IDNをデフォルトでサポートしないことから、Internet Explorerにはこの脆弱性は存在しない。

（後略）

(　´`ω´)つhttp://www.itmedia.co.jp/enterprise/articles/0502/08/news028.html　（引用元配信記事）

ITmedia エンタープライズtop
http://www.itmedia.co.jp/enterprise/　（05/02/08）配信

依頼
http://pc5.2ch.net/test/read.cgi/pcnews/1091558547/422

(　´`ω´)ψ2

IDNの“脆弱性”はブラウザではなくレジストリ側の運用面の問題〜JPRS
http://internet.watch.impress.co.jp/cda/news/2005/02/09/6421.html

> ブラウザなどのアプリケーションの問題ではなく、そのドメイン名を運用・管理するレジストリの側がどれだけきちんとした対応を行なうかという問題である
> すでにこういった問題を抑制するために（中略）RFCやICANNのガイドラインがある
> 視覚的にドメイン名を錯覚させる手法はIDNに限ったものではない。英数字でも「1」と「l」、「0」と「O」を置き換えた“偽装”は可能
> 視覚的に似たドメイン名を使用すること自体はあまり有効なフィッシング手段ではない

(　´`ω´)ψ4

ニュースというよりむしろコラムだな。ネタ古すぎ。

http://www.itmedia.co.jp/enterprise/articles/0502/11/news012.html

　Firefoxのシェアが伸びればこれを標的とした不正コードももっと増えるとGartnerは予想。
セキュリティ専門家もこの見方では一致しており、
Mozillaベースのブラウザを標的としたスパイウェアなどの悪質コードは、
これまでのところ大半がうまく機能していないものの、今後ますます増えると見る。
例えば昨年、MozillaとFirefoxに不正アプリを自動インストールするXPI拡張を一部サイトが使い始めたため、
これに対応して、ページをロードする際にXPIをインストールしないようにするパッチがリリースされた。