IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un bogue affectant Chrome et Firefox permet le spoofing de la barre d'adresse


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 701
    Points : 51 791
    Points
    51 791
    Par défaut Un bogue affectant Chrome et Firefox permet le spoofing de la barre d'adresse
    Un bogue affectant Chrome et Firefox permet le spoofing de la barre d'adresse
    Afin de faciliter des attaques d'hameçonnage

    Le chercheur en sécurité Rafay Baloch a découvert une vulnérabilité dans les navigateurs Chrome et Firefox qui permet aux cybercriminels de faire des manipulations de la barre d’adresse (spoofing), un moyen très souvent utilisé pour les attaques basées sur le déni de service. La vulnérabilité se trouve au niveau de l’omnibox, la barre de recherche conçue pour faire des suggestions de recherche, la prédiction d’URL, la recherche instantanée …

    « L’équipe de sécurité de Google affirme elle-même qu’elle reconnait la barre d’adresse comme le seul indicateur de sécurité d’un navigateur moderne, et si ce seul indicateur pouvait être contrôlé par un hacker, il pourrait mener des attaques. Par exemple, il peut potentiellement pousser les utilisateurs à fournir des informations sensibles sur un site malicieux du fait qu’il peut facilement les persuader que le lien qu’ils visitent est légitime, puisque la barre d’adresse affiche le site web correct ».

    Cette technique de spoofing de la barre d’adresse vient du fait que beaucoup de langues, comme l’Arabe et l’Hébreu, sont écrites de droite à gauche. Ces langues ont une mauvaise prise en charge de certains caractères Unicode, ce qui affecte la manière dont ils sont rendus avec un premier caractère (lettre d'alphabet) ou une adresse IP. Cela peut éventuellement permettre une usurpation d’URL. Baloch a remarqué que le fait de placer des caractères neutres comme “/”, “ا” dans le chemin de fichier cause une inversion de l’URL et l’affiche de droite à gauche. Cependant, pour que le spoofing de l’URL marche, l’adresse doit commencer par une adresse IP suivie par des caractères neutres, puisque l’omnibox considère les adresses IP comme une combinaison de chiffres et de ponctuation. Et puisque la direction de gauche à droite (LTR) n’est pas gérée proprement, l’URL entière est traitée et rendue de droite à gauche (RTL). On peut avoir les mêmes résultats en remplaçant l’adresse IP par un caractère comme une lettre d’alphabet par exemple.

    Ainsi le navigateur affiche l’URL suivante 127.0.0.1/ا/http://example.com de cette façon http://example.com/ا/127.0.0.1

    Cette technique est caractérisée par la facilité de son exploitation. Un hacker peut facilement implémenter un site d'hameçonnage et le lier à une fausse adresse. Ensuite les victimes seront amenées à visiter le site via des emails de spam, des SMS ou des messages, ne pouvant pas savoir que l’adresse en question est fausse. « L’adresse IP peut facilement être cachée dans les navigateurs mobiles en utilisant un long URL (google.com/fakepath/fakepath/fakepath/... /127.0.0.1) afin de rendre l’attaque plus réaliste », explique Baloch.

    Firefox a été affecté par une vulnérabilité similaire. Cependant l’utilisation d’une adresse IP pour mener l’attaque n’a pas été nécessaire, le cybercriminel ayant seulement besoin d’un caractère RTL afin d’exploiter la vulnérabilité. Ainsi, au lieu d’afficher cette URL : http://عربي.امارات/google.com/test/test/test, les utilisateurs sont menés à google.com.

    Google et Mozilla ont déjà résolu ce problème alors que les autres éditeurs travaillent sur une solution. Baloch a aussi informé qu’il a reçu 5000 dollars de Google pour avoir rapporté cette vulnérabilité.

    Nom : chrome-and-firefox-affected-by-simple-url-spoofing-bug-that-facilitates-phishing-507369-3.jpg
Affichages : 3360
Taille : 14,9 Ko

    Source : Rafayhackingarticles

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Forum Sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre régulier
    Profil pro
    Inscrit en
    août 2003
    Messages
    76
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : août 2003
    Messages : 76
    Points : 85
    Points
    85
    Par défaut
    C’est en effet astucieux d’exploiter les bugs de rendu Unicode, mais ça ne permet quand même pas d’afficher des URL complètement arbitraires. Cela dit, en faisant apparaître comme nom de domaine un élément qui n’en fait pas partie, et inversement, en reléguant le nom de domaine ailleurs dans l’URL, l’illusion est saisissante.

Discussions similaires

  1. Réponses: 0
    Dernier message: 30/11/2011, 01h08
  2. Dropdownlist inaccessibles sous Chrome ou Firefox
    Par Arno_94 dans le forum ASP.NET
    Réponses: 1
    Dernier message: 15/06/2010, 15h11
  3. Actualisation page avec mode chrome de firefox
    Par caro0000 dans le forum Général JavaScript
    Réponses: 0
    Dernier message: 18/12/2009, 16h46
  4. Réponses: 30
    Dernier message: 23/07/2009, 16h27
  5. Réponses: 22
    Dernier message: 06/07/2009, 10h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo