Mozilla Foundation セキュリティアドバイザリ 2009-25

タイトル: 不正な Unicode 文字による URL 偽装
重要度:
公開日: 2009/06/11
報告者: Pavel Cvrcek
影響を受ける製品: Firefox, SeaMonkey

修正済みのバージョン: Firefox 3.0.11

概要

特定の不正な Unicode 文字が、国際化ドメイン名 (IDN) の一部として用いられた場合、ロケーションバー上で空白文字として表示されてしまうことが、Mozilla アドオン開発者の Pavel Cvrcek 氏によって報告されました。この空白文字は、ロケーションバー上で URL の一部を見えなくしてしまうのに利用される可能性がありました。攻撃者はこの脆弱性を利用してロケーションバーを偽装し、自分たちの悪質な Web ページにおいて誤解を招くような URL を表示することが可能でした。

参考資料