Mozilla Foundation セキュリティアドバイザリ 2009-15

タイトル: 罫線文字による URL 偽装
重要度:
公開日: 2009/04/21
報告者: Bjoern Hoehrmann, Moxie Marlinspike
影響を受ける製品: Firefox, Thunderbird, SeaMonkey

修正済みのバージョン: Firefox 3.0.9
  Thunderbird 2.0.0.21
  SeaMonkey 1.1.15

概要

国際化ドメイン名 (IDN) で Unicode の罫線文字が許容されており、それらが正規の URL で使用されている句読点と視覚的に紛らわしい場合があることが、strong>Bjoern Hoehrmann 氏とセキュリティ専門家の Moxie Marlinspike 氏によって個別に報告されました。これをフィッシング詐欺と組み合わせることで、実際に訪れているのとは異なるサイトにいるかのように被害者に信じ込ませることが可能でした。

参考資料