News

Other articles

Monday 8 March 2010

Audio Podcast Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010

Article Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010

Article Cloud security threats identified by CSA

Tuesday 2 March 2010

In Brief Vote for your CSO Interchange topics

Thursday 25 February 2010

Article Cloud Computing : a simple question of supplier risk

Monday 22 February 2010

Article Most dangerous coding errors outed

Monday 22 February 2010

In Brief Microsoft IE users to get browser choice update

Friday 19 February 2010

Article Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010

In Brief Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010

Audio Podcast The Challenges of Cross Border eID

Monday 15 February 2010

Audio Podcast The Readiness of eID in Europe Part 2

Sunday 14 February 2010

Audio Podcast The Readiness of eID in Europe Part 1

Thursday 11 February 2010

Article Concern at DDoS sophistication rise

Monday 8 February 2010

Article Voice encryption standard takes a beating

Friday 5 February 2010

Article Military importance of cyber recognised

Vulnérabilité liée à l'IDN dans tous les navigateurs sauf IE !

Written by Aurélien Cabezon (SecurityVibes)
Published on Tuesday 8 February 2005
0 comment(s) | Subnetwork France

| | Other Tools

Eric Johanson, membre du groupe Shmoo (airsnort) a découvert une faille, pour le moins originale dans Mozilla, Firefox, Camino, Opera, Safari, Omniweb et Konqueror. Mais pas dans IE! Elle pourrait faciliter les attaques par « phishing ». L'usurpation d'adresses et de certificats SSL serait possible.

Le problème de sécurité découvert repose sur l'internationalisation des noms de domaines. En effet, seuls les noms de domaines contenant des caractères ASCII sont supportés par les registrars.

Ainsi, il n'est pas possible d'enregistrer un nom de domaine avec des accents ou des caractères spéciaux. Pour contourner en partie ce problème, l'ICANN a récemment décidé d'adopter l'IDN (Internationalized Domain Names).

C'est en quelque sorte une manière d'écrire des caractères spéciaux avec uniquement des caractères ASCII. Evidemment, seuls les navigateurs adaptés pourront comprendre ces noms de domaine internationaux.

Ainsi, en jouant avec les caractères internationaux, il est possible, pour un webmaster malveillant de construire un lien, en apparence légitime, qui pointe vers un site piégé. L'utilisateur n'y voit que du feu.

Cette attaque ne fonctionne que si le navigateur de la victime est compatible avec les noms de domaines internationaux. C'est le cas des butineurs récents tels que Firefox, Mozilla, Safari mais pas Internet Explorer car par défaut, le navigateur de Microsoft ne support pas l'IDN !

Pour le moment aucune solution n'est disponible. Mozilla planche sur une solution « durable », en attendant il est conseillé de désactiver le support IDN. Et comme toujours, gare où vous cliquez !

Our members have posted 0 comments about this article. Only members can view and submit new comments.

Dangereuse vulnérabilité découverte dans le navigateur...

Premiers défauts sur les mécanismes de sécurité...

Une nouvelle faille corrigée aujourd'hui par Google

Vulnérabilité liée à l'IDN dans tous les...

Ascii spam: faire du neuf avec du vieux...

La combinaison des attaques XSS et CSRF : la prochaine menace sur le web ?

Quelle démarche de sécurité utilisez vous pour sécuriser vos Web Services? (12 Answers)

Pensez-vous qu'en 2097 les patches sous windows pourront-être installés correctement ? (3 Answers)

Que pensez de de la dépérimétrisation ? "bring the firewall down" une approche du groupe Jericho (11 Answers)

Authentification forte par SMS, une approche pragmatique ? (8 Answers)

Une suggestion pour controler les appareils mobiles en entreprise ? (8 Answers)

Browse Questions

Companies