Старые версии macOS и iOS содержат баг, позволяющий подделать домены

Старые версии macOS и iOS содержат баг, позволяющий подделать домены

Исследователь из Tencent Security Xuanwu Lab описал интересный баг, который встречается в прошлых версиях операционных систем от Apple. Этот недочет позволяет злоумышленнику замаскировать вредоносный сайт под ресурс, в доменном имени которого присутствует латинская буква «d».

Уязвимость получила идентификатор CVE-2018-4277, она завязана на схожести латинской буквы dum (U+A771) с маленькой буквой D (U+0064). Согласно стандарту Unicode у (U+A771) должен быть небольшой апостроф после d, но в продуктах Apple он просто игнорируется.

Чтобы доказать наличие вектора атаки, эксперт зарегистрировал доменное имя icloud.com (последняя буква d на самом деле являлась U+A771). После этого специалист зарегистрировал SSL-сертификат, так его метод станет еще более правдоподобен.

«На данном этапе мы видим, что весь процесс спуфинга вполне реален. Следовательно, атакующий может подделать все домены, содержащие букву ‘d’», — пишет исследователь.

Эксперт приводит список популярных ресурсов, содержащих в доменном имени эту букву:

  • linkedin.com
  • baidu.com
  • jd.com
  • adobe.com
  • wordpress.com
  • dropbox.com
  • godaddy.com
  • reddit.com

Уязвимы следующие продукты компании Apple:

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Facebook и Twitter ответили РКН по поводу хранения данных россиян

По словам представителей Роскомнадзора, российскому ведомству удалось добиться ответа Facebook и Twitter относительно хранения персональных данных россиян на территории России. Об этом рассказал пресс-секретарь Роскомнадзора Вадим Ампелонский.

К сожалению, господин Ампелонский не стал уточнять, что именно ответили компании по поводу хранения данных россиян, однако выдал следующую информацию (цитата «Ъ»):

«17 января Роскомнадзор получил ответы от компаний Facebook и Twitter. Сегодня мы проанализируем полученную информацию и сообщим о дальнейших действиях в понедельник».

Запланированная на январь встреча представителей Роскомнадзора с Twitter не состоится, так как сотрудники компании не смогут приехать.

«Twitter уведомил нас, что их представители по каким-то причинам точно не смогут приехать на встречу с нами в январе. Возможно, эта встреча состоится позднее. Мы открыты для встреч», — объяснил пресс-секретарь российского ведомства.

Вчера мы писали, что Роскомнадзор заблокировал водонагреватель россиянина из-за Telegram. Забавная история приключилась с одним из пользователей сайта Pikabu, который приобрел водонагреватель, а затем обнаружил, что устройство не может выйти в Сеть. Оказалось, что купленный девайс стал жертвой конфликта между Роскомнадзором и Telegram

Также на этой неделе стало известно, что Роскомнадзор не стал церемониться с ресурсами, связанными с незаконным онлайн-казино Azino 777. В результате в реестр запрещенных веб-сайтов были добавлены более 1,5 тысячи ресурсов, 90% из них уже блокируются и недоступны для пользователей из России.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru