8月17日(米国時間)、Threatpostに掲載された記事「Browser Address Bar Spoofing Vulnerability Disclosed|Threatpost|The first stop for security news」が、ChromeやFirefoxなどを含む主要ブラウザがアドレスバーのURLを詐称することができる脆弱性の影響を受けると伝えた。Firefoxではすでに影響を受けるAndroid版を修正しており、Googleは9月にリリースされるバージョンで修正することになると説明されている。
脆弱性自体はすでに指摘されていたが、先日、その詳細が研究者によって公開された。説明によれば、これはChromeやFirefoxといったブラウザがアラビア文字およびヘブライ文字の一部のレンダリングを誤っていることに原因があるという。例えば、アドレスバーに「127.0.0.1/|/http://example.com/」といった文字列が入力された場合、この文字列に含まれている縦線(アラビア文字、ヘブライ文字)に関するレンダリングの誤りが原因で、アドレスバーには「http://example.com/|/127.0.0.1」と表示されてしまうとされている。
モバイルブラウザでは長いURLを使うことでアドレス部分を隠蔽することが可能になるため、より攻撃をわかりにくくすることが可能だと説明がある。Mozillaはデスクトップ版のFirefoxにはこの脆弱性は存在しないと指摘しているほか、Android版はすでに修正を実施したと説明している。該当するバージョンを使用している場合は最新版へのアップグレードの実施が推奨される。