Chrome 58 soluciona Punycode
Google ha adelantado unos cuantos días el lanzamiento de Google Chrome 58 para poner a disposición de los usuarios sus últimas novedades en materia de seguridad. Esta nueva versión introduce un total de 29 parches de seguridad y soluciona 12 vulnerabilidades, además de añadir nuevas funciones para mejorar el rendimiento del navegador, tanto en el ordenador como en el móvil. Vamos a verlas en detalle.
Entre los fallos de seguridad arreglados encontramos uno bastante grave que comentamos a principios de semana, y que tenía que ver con que una web podía hacerse pasar por otra HTTPS real gracias a la forma en la que el Punycode se traducía en Chrome y en Firefox.
De esta manera, una web podía utilizar caracteres cirílicos, que a vista del usuario tal y como lo mostraba el navegador eran exactamente idénticos. A partir de ahora, ese fallo ya no ocurre, y se muestra el dominio real. La página https://www.xn--80ak6aa92e.com/ ya no se mostrará como https://apple.com
Solucionar todas estas vulnerabilidades han supuesto a Google, dentro de su programa de recompensas, más de 14.000 dólares.
Fuente: ADSLZone
Entre los fallos de seguridad arreglados encontramos uno bastante grave que comentamos a principios de semana, y que tenía que ver con que una web podía hacerse pasar por otra HTTPS real gracias a la forma en la que el Punycode se traducía en Chrome y en Firefox.
De esta manera, una web podía utilizar caracteres cirílicos, que a vista del usuario tal y como lo mostraba el navegador eran exactamente idénticos. A partir de ahora, ese fallo ya no ocurre, y se muestra el dominio real. La página https://www.xn--80ak6aa92e.com/ ya no se mostrará como https://apple.com
Solucionar todas estas vulnerabilidades han supuesto a Google, dentro de su programa de recompensas, más de 14.000 dólares.
Fuente: ADSLZone
En todas las noticias aparece solo problema con el navegador web, pero el tema se extiende también a los clientes de correo como Outlook o webmail como Gmail. Acabamos de demostrarlo haciendo una PoC en laboratorio, aquí el artículo y Link con un dominio nuestro clonado: https://ciberseguridad.lamula.pe/2017/04/22/ataque-de-phishing-imperceptible-con-unicode-tambien-afecta-clientes-de-correo-electronico/delphins/
ResponderBorrar