Исследователь из Tencent Security Xuanwu Lab описал интересный баг, который встречается в прошлых версиях операционных систем от Apple. Этот недочет позволяет злоумышленнику замаскировать вредоносный сайт под ресурс, в доменном имени которого присутствует латинская буква «d».
Уязвимость получила идентификатор CVE-2018-4277, она завязана на схожести латинской буквы dum (U+A771) с маленькой буквой D (U+0064). Согласно стандарту Unicode у (U+A771) должен быть небольшой апостроф после d, но в продуктах Apple он просто игнорируется.
Чтобы доказать наличие вектора атаки, эксперт зарегистрировал доменное имя icloud.com (последняя буква d на самом деле являлась U+A771). После этого специалист зарегистрировал SSL-сертификат, так его метод станет еще более правдоподобен.
«На данном этапе мы видим, что весь процесс спуфинга вполне реален. Следовательно, атакующий может подделать все домены, содержащие букву ‘d’», — пишет исследователь.
Эксперт приводит список популярных ресурсов, содержащих в доменном имени эту букву:
- linkedin.com
- baidu.com
- jd.com
- adobe.com
- wordpress.com
- dropbox.com
- godaddy.com
- reddit.com
Уязвимы следующие продукты компании Apple:
- watchOS версии до 4.3.2 https://support.apple.com/zh-cn/HT208935
- iOS версии до 11.4.1 https://support.apple.com/zh-cn/HT208938
- tvOS версии до 11.4.1 https://support.apple.com/zh-cn/HT208936
- macOS High Sierra версии до 10.13.5 https://support.apple.com/zh-cn/HT208937
