近日，安全研究員Rafay Baloch披露了一個針對主流瀏覽器的網(wǎng)址欺詐的漏洞細(xì)節(jié)。在今年3月份，他曾在新加坡舉行的Black Hat Asia做過關(guān)于地址欄欺騙的主題報告。

　　警惕網(wǎng)址欺詐漏洞 部分主流瀏覽器中招

Unicode字符渲染不當(dāng)引發(fā)漏洞

據(jù)Baloch在個人網(wǎng)站中爆料，出現(xiàn)漏洞的主要原因是Chrome和Android版本的Firefox瀏覽器對某些Unicode字符的渲染不得當(dāng)。阿拉伯語和希伯來語中會有一些字符是會從右到左顯示的，比如“|”。當(dāng)包含這種Unicode字符的URL和IP地址合在一起時，瀏覽器就會把URL從右到左顯示。

舉個例子，某個網(wǎng)址邏輯上的順序是“127.0.0.1/|/http：//example.com/”，但是瀏覽器會在地址欄中把網(wǎng)址顯示成“http：//example.com/|/127.0.0.1”。 經(jīng)過翻轉(zhuǎn)的網(wǎng)址IP地址部分其實是很容易隱藏的，尤其是在移動設(shè)備上，只要用一個比較長的URL就行了。

部分瀏覽器廠商跟進(jìn)修復(fù)

目前，針對該漏洞，部分瀏覽器廠商已表示跟進(jìn)修復(fù)動作。Mozilla表示，該漏洞只存在于Android版本的Firefox瀏覽器，桌面版本不受影響，并且在8月2日的更新中已經(jīng)修復(fù)了漏洞。基金會也為此向Baloch獎勵了1000美元。

　　Chrome將于今年9月份推出針對此漏洞的更新補(bǔ)丁

Google則表示會在今年9月份的Chrome更新中修復(fù)此漏洞。

不過，其他幾款瀏覽器也存在漏洞，但由于廠商尚未修復(fù)漏洞，因此還不能透露相關(guān)細(xì)節(jié)。其他瀏覽器用戶需要密切關(guān)注下了。