Архив

В целях безопасности Mozilla не будет поддерживать многоязычные доменные имена

В новых версиях браузеров Mozilla поддержка многоязычных доменных имен (IDN) будет отключена, сообщает сайт Security Pipeline. Таким способом разработчики Mozilla Foundation рассчитывают на краткосрочный период обезопасить свои продукты от уязвимости, которой охотно пользуются организаторы фишинг-атак.

Уязвимость, связанная с многоязычными доменными именами была обнаружена на прошлой неделе. Она присутствует почти во всех браузерах за исключением Internet Explorer — в этой программе поддержка IDN не предусмотрена вообще.

Чтобы организовать фишинг-атаку, мошенники создавали доменные имена с нелатинскими символами, которые внешне не отличаются от латинских. Набрав в поисковой строке фальшивый адрес или придя на сайт по ссылке, пользователь оказывался на ресурсе мошенников.

«Это проблема регистрации. Об этих нюансах было известно еще тогда, когда IDN были предложены. Организации, занимающиеся регистрацией DNS должны все нормализовать», — заявил разработчик Mozilla Герваз Маркхэм (Gervase Markham). По его мнению, оптимальный вариант, который может обеспечить безопасность пользователей браузеров, — отключение поддержки IDN.

Firefox 1.0.1, Mozilla 1.7.6 и Mozilla 1.8 beta, релиз которых состоится в течение одной-двух недель, не будут поддерживать IDN. «Это очевидно неудовлетворительное решение на долгосрочный период, и мы надеемся, что для Firefox 1.1 будет создан лучший вариант решения проблемы», — заявили разработчики браузера.

В целях безопасности Mozilla не будет поддерживать многоязычные доменные имена

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике