ロジャー・フィンガス
· 1分で読めます
Google はついに、macOS や iOS などのプラットフォームで利用可能な Chrome ブラウザをアップデートし、Apple の Safari、Microsoft の Edge および Internet Explorer ですでに修正されているフィッシングの脆弱性に対する保護機能を実装する準備を整えている。
Engadgetは月曜日、この問題は現在、Googleの実験的なChromeビルド「Canary」でmacOS、Windows、Android向けに公開されており、修正されていると報じた。このアップデートは、Chromeの通常のベータチャンネルを経て、4月25日頃に一般公開される予定だ。
この脆弱性は、URL内の特定のASCII文字を使用してブラウザでUnicodeを出力するPunycodeを悪用するものです。これは、中国などラテン文字以外のアルファベットを使用する地域では重大な問題となる可能性があります。
しかし、フィッシング詐欺師は、Chromeでは正規のウェブサイトを指しているように見える偽のドメインを登録できます。ソフトウェアエンジニアのXudong Zheng氏による安全な概念実証では、ユーザーをapple.comに誘導しているように見えますが、実際にはwww.xn—80ak6aa92e.comです。
Google は 1 月 20 日にこの脆弱性について知らされたが、修正にこれほど時間がかかった理由は不明だ。
Mozillaも同時に警告を受けましたが、Firefoxへのパッチ適用については未定とのことです。ユーザーはアドレスバーに「about:config」と入力し、「network.IDN_show_punycode」を「true」に変更することで、一時的に問題を自分で修正できます。これによりFirefoxはPunycodeを表示するようになり、ユーザーはURLをクリックする前に十分に確認できるようになります。
